We deden onderzoek naar de naleving van de AVG onder de tien grootste gemeenten. De resultaten waren niet best: bijna alle gemeenten voldeden niet aan de basisverplichtingen van de AVG. We spraken een Functionaris Gegevensbescherming van een gemeente om erachter te komen waarom gemeenten zich niet aan de wet houden.

De Functionaris Gegevensbescherming als interne toezichthouder

We spreken Erik*, Functionaris Gegevensbescherming en sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) werkzaam bij een gemeente in Nederland. Als Functionaris Gegevensbescherming is het zijn taak toezicht te houden op de naleving van de AVGZie artikel 39 van de AVG en daarover te adviseren. Ook wordt een Functionaris Gegevensbescherming om advies gevraagd als er een Data Protection Impact Assessment (DPIAZie artikel 35 van de AVG) gedaan wordt. Daarmee wordt bij nieuwe verwerkingen, vooral wanneer er nieuwe technologieën gebruikt worden, in kaart gebracht wat mogelijke risico’s zijn voor mensenrechten.

Een Functionaris Gegevensbescherming moet als interne toezichthouder onafhankelijk zijn. De toezichthouderZie artikel 38 van de AVG mag geen instructies krijgen en mag ook niet worden ontslagen of gestraft voor de uitvoering van diens taken. Een Functionaris Gegevensbescherming heeft toegang tot heel veel informatie binnen de organisatie, maar heeft ook een geheimhoudingsplicht. De Functionaris Gegevensbescherming die wij spreken, wil toch zijn ervaringen met ons delen, omdat die ervaringen volgens hem niet op zichzelf staan, maar grotere en structurele problemen laten zien.

"Geen gêne te bekennen"

“Functionarissen voor de Gegevensbescherming horen volgens de privacywet tijdig betrokken te worden. Maar soms kom ik er pas achter waar de gemeente mee bezig is als ik het in de krant lees.”
Het illustreert goed hoe de wet en de praktijk niet altijd op elkaar aansluiten. “Niet dat ik tijd zou hebben om ergens in te duiken als ik wel op tijd word betrokken. Ik moet mijn werk in zo weinig uren doen dat ik zelfs voor de jaarlijkse rapportages te weinig tijd heb.” Hoewel organisaties volgens de wet verplicht zijn ‘de benodigde middelen ter beschikking te stellen’ zodat een Functionaris Gegevensbescherming diens taken goed kan uitvoeren, blijkt ook uit ons onderzoek dat gemeenten vaak te weinig capaciteit en budget vrijmaken. Dit heeft tot gevolg dat er soms weinig voortgang zit in het voldoen aan de verplichtingen van de AVG.

Op onze vraag of Erik wel eens adviezen moet herhalen omdat er te weinig opvolging aan wordt gegeven, lacht hij cynisch: “alleen maar! Als ik een jaar later met hetzelfde advies kom, en dan weer een jaar later opnieuw, is er geen gêne te bekennen. De verantwoordelijken zelf vinden dat ze het best goed doen.”

Feestbederver

Gemeenten zijn zich volgens Erik wel steeds bewuster van het recht op privacy en gegevensbescherming. Bij nieuwe projecten willen ambtenaren daar graag rekening mee houden. Maar die nieuwe projecten blijken soms al in essentie niet aan de wet te voldoen. Gemeenten blijken steeds vaker opzoek naar manieren om gegevens te koppelen en te delen, steeds op grotere schaal. “Het is altijd met de beste bedoelingen, maar er is echt een ernstig gebrek aan kennis over de Algemene wet bestuursrecht waar ambtenaren zich aan moeten houden. Medewerkers weten vaak weinig over de algemene beginselen van behoorlijk bestuur, zoals het verbod op discriminatie, het verbod op willekeur en de motiveringsplicht. Er is een gebrek aan basiskennis over de wettelijke taken en bevoegdheden van de overheid. Je kunt als overheid niet zelf gaan bepalen wat je taak is!”

Ook dit probleem herkennen we uit ons onderzoek, waaruit blijkt dat gemeenten de basis gegevenshuishouding nog niet goed op orde hebben. Gemeenten weten nog niet voldoende welke gegevens ze in huis hebben, wat ze mogen en moeten doen met die gegevens en hoe deze gegevens beveiligd en beschermd worden. Ondertussen willen gemeenten wel aan de slag met ‘datagedreven werken’ en ‘nieuwe technologieën’.

Dat is risicovol omdat gemeenten zonder dat overzicht niet weten of ze rechtmatig en veilig omgaan met gegevens. Zo kunnen er lijsten ontstaan met gegevens die volgens de wet niet meer gebruikt mogen worden, zoals het geval was bij de BelastingdienstLees hier meer over de onrechtmatige praktijken van de Belastingdienst. Ook kan het voorkomen dat de technische beveiliging van de gegevens niet meer voldoet. Interne gegevensdeling kan ook onrechtmatig zijn omdat ambtenaren alleen voor de uitvoering van specifieke wettelijke taken persoonsgegevens mogen verwerken, wat andere ambtenaren op andere afdelingen niet mogen. Het is dan aan de toezichthouder om te wijzen op de risico’s en waar nodig een negatief advies te geven.

Wie geeft het duwtje in de rug?

Het is niet altijd prettig om enthousiaste collega’s er op te wijzen dat zo’n nieuw project niet door kan gaan. “Soms is het werk gewoon ook niet zo leuk. Wel belangrijk”, haalt Erik zijn schouders op. Volgens hem zijn gemeenten nog helemaal niet klaar voor écht toezicht. Ze willen nog helemaal niet horen wat ze verkeerd doen en wat er beter moet. “Daar is een cultuurverandering voor nodig die niet uit de organisatie zelf gaat komen. Gemeenten hebben een duwtje in de rug nodig. Maar wie gaat dat duwtje geven? Dat de Autoriteit Persoonsgegevens een keer langs komt, gelooft niemand meer.”

We vragen of de gemeenteraad een rol zou kunnen spelen. “Mijn rapportages worden soms aangeboden aan de gemeenteraad, maar er komen zelden vragen van de gemeenteraad. Ze zouden daar echt meer hun rol kunnen pakken. Ook kunnen ze er op aandringen dat er meer middelen vrijgemaakt worden.”

Uit ons onderzoek is gebleken dat minder dan de helft van de onderzochte gemeenten de gemeenteraad informeert door de rapportages van de Functionaris Gegevensbescherming te delen. We zagen grote verschillen in de openbaarheid van bestuur tussen verschillende gemeenten. Waar een drietal gemeenten (Amsterdam, Eindhoven en Groningen) de rapportages ook op de website publiceert, zijn andere gemeenten een stuk minder transparant. De gemeente Almere vond het zelfs nodig een groot deel van de rapportages zwart te lakken.

Het grotere plaatje

De ervaringen van Erik staan niet op zichzelf. Van collega’s bij andere gemeenten hoort hij vergelijkbare verhalen. Sommigen worden zelfs onder druk gezet door verantwoordelijke directeuren omdat de rapportages hen niet bevallen of omdat ze toch door willen met een project en niet willen dat de risico’s daarvan boven tafel komen. Wij vonden weinig Functionarissen Gegevensbescherming die daar met ons over wilden praten. Daarbij werd steeds aangegeven dat ze dit niet konden in verband met hun geheimhoudingsplicht. De toezichthouder die wij spraken was zich daar ook terdege van bewust, maar vond het maatschappelijk belang te groot om stil te blijven.

Al jaren Lees hier wat we daar eerder over schrevenwordt de landelijke toezichthouder klein gehouden doordat er te weinig middelen beschikbaar gesteld worden. Steeds opnieuw klinkt het mantra van de Autoriteit Persoonsgegevens: ‘We hebben geen capaciteit’. Vaak wordt er dan ook verwezenZoals hier door de voormalige minister voor Rechtsbescherming naar de interne toezichthouders, die zijn er immers ook nog. Maar als die interne toezichthouders ook te weinig middelen hebben om hun taken uit te voeren en soms zelfs hun onafhankelijkheid in het gedrang komt, wat blijft er dan overWe schreven hierover in het NRC van het AVG-toezicht? Wie ziet er in de praktijk dan werkelijk op toe dat AVG-rechten van burgers beschermd worden?

Wat ons betreft wordt het tijd dat organisaties, waaronder gemeenten, gaan beseffen dat ze de onafhankelijke toezichthouders hard nodig hebben. Hoe datagedrevener gemeenten willen werken, hoe belangrijker het wordt dat dat op een veilige en rechtmatige manier gebeurt. Dat is de enige toekomstbestendige manier van gegevensverwerking. Elk duwtje in de rug om tot dat besef én tot uitvoering te komen, zouden gemeenten daarom moeten omarmen.

* Erik is niet de echte naam van de Functionaris Gegevensbescherming die we spraken. Om de identiteit van de Functionaris Gegevensbescherming te beschermen, gebruiken we een andere naam. De identiteit van de Functionaris Gegevensbescherming is bij Bits of Freedom bekend.