Privacy en AVG

De gemeente Rotterdam kent vanuit haar wettelijke taken en bevoegdheden veel processen waarbij persoonsgegevens van Rotterdammers (en andere burgers), ondernemers en medewerkers worden verwerkt. Soms zijn die privacygevoelig, zoals financiële en bijzondere gegevens. Er zijn binnen de gemeentelijke organisatie zo’n 450 deelprocessen waarbij persoonsgegevens gebruikt worden. Die vallen onder de AVG (Algemene Verordening Gegevensbescherming) waarin bepaald wordt hoe bedrijven en overheden met persoonsgegevens om moeten gaan. 

Hoe gaat het nu met de AVG? Twee jaar na de invoering is er een stevig fundament gelegd met

  • Een privacyorganisatie die concernbreed en per cluster het management ondersteunt en adviseert over Privacy
  • Een register van verwerkingen waarin processen zijn vastgelegd waarin persoonsgegevens van burgers en ambtenaren worden verwerkt
  • Het proces uitgevoerde DPIA’s. Dat is een verplichte analyse voor de processen met een hoog privacyrisico voor de betrokkenen van wie de gegevens verwerkt worden. Daarmee kunnen maatregelen worden genomen om het risico te verkleinen
  • Een datalekkenregister waarin de gemeente de datalekken bijhoudt. De gemeente zet ook in op de bewustwording bij medewerkers door gerichte campagnes
  • Verwerkersovereenkomsten die worden afgesloten met partijen die in opdracht van de gemeente persoonsgegevens verwerken

De verwachting is dat de organisatie medio 2021 in een volgende fase komt waarbij privacy als vanzelfsprekend onderdeel van de gemeentelijke organisatie wordt beschouwd.

 

Waar richten we ons op in de komende jaren?

Ook de komende jaren blijft Awareness een belangrijk aandachtspunt, onder meer door de uitrol van een e-learning module voor alle medewerkers van de gemeente.

De Digitale Overheid is een belangrijk thema. Voor Rotterdam is dat geformuleerd in onder andere de digitaliseringsagenda. Datatechnologie helpt de gemeente om oplossingen te vinden voor bijvoorbeeld mobiliteit of veiligheid of om de dienstverlening te verbeteren. Maar daar zijn ook privacyrisico’s aan verbonden, reden om de focus te richten op:

  • Het gebruik van datatechnologie voor Smart Cities,
  • Datagedreven werken
  • Samenwerkingsverbanden waarin gegevens gedeeld worden (denk aan het Sociaal domein en Veiligheidshuis)
  • Databeveiliging
  • Het gebruik van algoritmes, etc.

Niet toevallig zijn dit ook de focusgebieden van de Autoriteit Persoonsgegevens. Zo loopt er een verkennend onderzoek van de Autoriteit Persoonsgegevens naar de ontwikkelingen voor Smart Cities en de manier waarop gemeenten omgaan met de privacy van bewoners en bezoekers.

Datalekken

Waar veel gegevens worden verwerkt gaat er ook weleens iets mis en ontstaat een datalek. Een datalek is een incident waarbij persoonsgegevens (mogelijk) in handen zijn gekomen van onbevoegden, bijvoorbeeld door een verkeerd geadresseerde brief of e-mail. Vanaf 1 januari tot 15 augustus 2020 zijn er 123 datalekken geweest waarvan 55 bij de Autoriteit Persoonsgegevens (AP) zijn gemeld. Ter vergelijking: over heel 2019 betrof het 193 datalekken, waarvan 131 bij de AP zijn gemeld. Dit aantal steeg tot nu toe jaarlijks maar lijkt nu wat te stabiliseren: tot augustus 2019 waren er 114 datalekken, ongeveer eenzelfde aantal.

 

Recht van betrokkenen

De AVG biedt burgers de mogelijkheid om inzage in de eigen persoonsgegevens te krijgen. Tot nu toe zijn over 2020 zijn 115 verzoeken door burgers ingediend om hun inzagerecht uit te oefenen. De tijdige afhandeling van de verzoeken is in 2020 verbeterd. De verzoeken die in 2020 binnen zijn gekomen, zijn op twee na binnen de wettelijke termijn afgehandeld.