Privacy

Begroting 2025

Paginanummer in website: 209

Privacy

De gemeente beschikt over grote hoeveelheden persoonsgegevens. Die zijn noodzakelijk voor de uitvoering van beleid en voor de dienstverlening. Dat varieert van bijstandsuitkeringen tot cameratoezicht in de openbare ruimte, en van wijkteams tot gemeentelijke heffingen. Er zijn meer dan 500 processen waarbij de gemeente persoonsgegevens van burgers verwerkt. De Algemene verordening gegevensbescherming (AVG) voorziet in de bescherming van die gegevens. De gemeente moet de AVG op alle aspecten naleven. Daar hoort bij dat alle medewerkers de nodige verantwoordelijkheid voelen bij het werken met persoonsgegevens.

Halverwege 2024:

Zijn in het register van verwerkingen de processen vastgelegd waarin de gemeente Rotterdam persoonsgegevens van bewoners en eigen medewerkers verwerkt. Dit register bevat nu 643 verwerkingen;
Zijn er 230 Data Protection Impact Assessments (DPIA’s) afgerond. Bij elk nieuw proces vindt een beoordeling plaats of een DPIA nodig is. Een DPIA is een verplichte analyse van processen met een hoog privacyrisico bij de verwerking van gegevens. Op basis van zo’n analyse is het mogelijk gerichte maatregelen te nemen om het risico op privacyschending te verkleinen;
Daarnaast worden de DPIA’s na drie jaar opnieuw doorgelopen op veranderingen in het proces en vindt zo nodig aanpassing plaats van de maatregelen.
Zijn voor 256 processen verwerkersovereenkomsten afgesloten met bedrijven die in opdracht van de gemeente persoonsgegevens verwerken;
Houdt de gemeente een datalekkenregister bij. Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld zijn gebeurd door een verkeerd geadresseerde brief of e-mail. Tussen 1 januari en 1 augustus 2024 waren er 166 datalekken. Daarvan zijn er 19 gemeld bij de Autoriteit Persoonsgegevens (AP). In dezelfde periode 2023 waren er 148 datalekmeldingen, waarvan er 23 zijn gemeld bij de AP. Het aantal datalekken nam dus iets af.

Uitdagingen en risico's

De afgelopen jaren is de advisering over privacy en AVG verder geprofessionaliseerd. Met de invoering van het plan van aanpak AVG is de basis op orde gebracht. Ondertussen gaat de digitalisering van de samenleving verder. De gemeentelijke organisatie gaat in de ontwikkelingen mee. Datatechnologie en algoritmes helpen om data te analyseren en de dienstverlening aan bewoners en ondernemers te verbeteren. Daar zijn privacy-risico’s aan verbonden en de uitdaging ligt dan ook in het vinden van een goede balans tussen toepassing van de privacywetgeving enerzijds en de toenemende inzet van datatechnologie anderzijds. Die risico’s zien we bij alle dataverwerkingen voor bijvoorbeeld onderzoek en analyse en algoritmes waarbij persoonsgegevens worden verwerkt. Vertaling van wetgeving (AVG) naar beleid is dan ook belangrijk. De beleidskaders algoritmegovernance en het privacyframework zorgen voor spelregels voor algoritmetoepassingen en datagedreven werken. Ook heeft nieuwe Europese wetgeving gevolgen voor de privacy. Zo treedt op 1 augustus 2024 de AI-verordening in werking. De regels in deze verordening zijn bedoeld om betrouwbare algoritmes en ArtificiaI Intelligence (kunstmatige intelligentie) te garanderen. Als daarbij persoonsgegevens in het geding zijn, gelden soms bijzondere eisen en is de AVG van toepassing. Daarnaast onderzoekt de VNG samen met de gemeentes waaronder Rotterdam wat de impact zal zijn van deze wetten waaronder ook de E-privacyverordening, Data act en Data governance Act.

Samenwerkingsverbanden

Ook zijn er privacyrisico’s bij het delen van gegevens in samenwerkingsverbanden met partnerorganisaties, zoals in het sociaal domein en het veiligheidsdomein. Overheden en andere organisaties moeten effectief kunnen samenwerken zonder de risico’s voor de privacy uit het oog te verliezen. Het gaat onder meer om de Wet gegevensdeling samenwerkingsverbanden (Wgs). Deze wet stelt strikte voorwaarden voor het delen van informatie binnen samenwerkingsverbanden op het terrein van zorg en veiligheid, ondermijning, en in de aanpak van witwassen en van crimineel vermogen. Deze wet treedt waarschijnlijk op 1 januari 2025 in werking.

Binnen de organisatie dragen verschillende acties hieraan bij, zoals het opstellen van beleidskaders en richtlijnen, bevordering van transparantie en een groter bewustzijn bij opdrachtgevers en medewerkers van de waarde van privacy en privacybescherming. De gemeentelijke organisatie legt de uitdagingen vast in jaarplannen en in een organisatiebreed jaarplan voor privacy.