We deden onderzoek naar de naleving van de privacywet onder de tien grootste gemeenten in Nederland. De resultaten waren niet best: gemeenten leven de Algemene Verordening Gegevensbescherming (AVG) slecht na. Dat doet vermoeden dat er sprake is van een landelijk probleem.

Toeval, of een groter probleem?

We onderzochtenLees hier onze bevindingen en aanbevelingen de tien grootste gemeenten omdat deze gemeenten opgeteld de gegevens verwerken van zo’n 3,8 miljoen mensen. Ook hebben grote gemeenten een voorbeeldfunctie naar andere gemeenten en worden er vaak werkzaamheden uitbesteed aan grote gemeenten.
In ons onderzoek hebben we ons beperkt tot de basisvereisten van de AVG. We wilden weten of gemeenten voldoende overzicht hadden van de gegevens die ze verwerkten, of ze voldoende capaciteit vrijmaakten om aan de AVG te kunnen voldoen, hoe gemeenten omgaan met AVG verzoeken en of gemeenten voldoende verantwoording afleggen over hoe ze de privacywet naleven. Op de gemeente Utrecht na, scoorden gemeenten slecht op deze punten. Daar zijn we erg van geschrokken, want vier jaar na de inwerkingtreding van de wet, mogen burgers meer verwachten.

Als negen van de tien gemeenten zo slecht scoren, is dat dan toeval of is er sprake van een groter probleem? Wij vrezen het laatste. Als de grootste gemeenten, met de grootste budgetten en de meeste capaciteit al zo slecht scoren, is het niet realistisch dat andere gemeenten het veel beter doen.

Gemeenten trekken een te grote broek aan

Eén van de verontrustende bevindingen is dat gemeenten nog niet goed weten welke gegevens ze in huis hebben, wat ze daarmee doen en of die gegevens goed beveiligd zijn. Gemeenten horen dat vast te leggen in een verwerkingsregister, maar dat blijkt vaak onvoldoende op orde en niet actueel. Zonder goed overzicht, kunnen gemeenten niet goed inschatten waar mogelijke risico’s liggen. Bijvoorbeeld het risico op een datalek, verouderde apparatuur en beveiliging of gegevens die niet meer kloppen.

Terwijl de basis nog niet op orde is, willen gemeenten wel aan de slag met nieuwe technologieën, bijvoorbeeld met algoritmen. Maar als er onjuiste gegevens worden ingevoerd in een algoritme, dan kun je er niet op vertrouwen dat de uitkomsten wel kloppen. Dat gemeenten een te grote broek aantrekken, komt overeen met de erg ambitieuze doelstellingen van de Nederlandse overheid, zoals bijvoorbeeld verwoord in de Digitaliseringsstrategie 2.0Lees hier wat we daar eerder over schreven. Daarin staat dat Nederland koploper wil worden op het gebied van digitale innovatie. We zien echter dat de basisverplichtingen niet eens bijgebeend kunnen worden.

Ook Tweede Kamerleden uiten hun zorgen

Dat is een ontwikkeling waar ook Tweede Kamerleden zich zorgen over maken. De SPLees hier de vragen van SP en GroenLinksLees hier de vragen van GroenLinks stelden naar aanleiding van ons onderzoek vragen aan de verantwoordelijke minister en staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties. Zij vroegen zich onder andere af of gemeenten niet moeten stoppen met het experimenteren met technologieën, zolang gemeenten niet voldoen aan de basisvoorwaarden van de AVG. Dat lijkt ons geen overbodige luxe, want in al die pilots en proeftuinen zijn burgers ongewild het proefkonijn.