‘Gemeenten moeten aan de slag om privacyschending tegen te gaan’
De wetgever heeft verzuimd om gemeenten te voorzien van een wettelijk kader voor een integrale (domeinoverstijgende) uitvoering van taken. Maar naast deugdelijke wetgeving moeten gemeenten er zelf ook snel mee aan de slag. Behalve toezien op de naleving van regels denkt de Autoriteit graag mee over hoe gemeenten problemen vóór kunnen zijn.
“Wij zijn trots op onze rechtstaat en het hoofdbeginsel daarvan is dat de overheid zich houdt aan de regels.”, stelt Aleid Wolfsen. De voorzitter van de Autoriteit Persoonsgegevens windt er geen doekjes om: gemeenten ontberen het juridisch instrumentarium om diverse taken, die zij van het Rijk hebben gekregen (o.a. in het sociaal en veiligheidsdomein), volgens de regelen der wet uit te voeren.
Risico op schenden van grondrechten
Wolfsen: “Het Rijk heeft de uitvoering van de Jeugdwet, de Participatiewet, de Wmo en allerlei andere taken bij de gemeente neergelegd. Daarbij worden veel persoonsgegevens verwerkt. Niks mis mee. Gemeenten pakken dat vanuit een regisseursrol integraal in samenhang aan. Als het om ingewikkelde meervoudige problematiek gaat, dan is dat volslagen invoelbaar. Maar wat de wetgever niet heeft gedaan, en dat is een belangrijke - zo niet de belangrijkste - tekortkoming, is het wettelijk te faciliteren. Het gevolg is dat de professionals, die in de wijken ingewikkeld en belangrijk werk doen, het risico lopen de grondrechten van burgers te schenden. Dan heb je het over serieuze, grote overtredingen. Wij hebben er als toezichthouder bij de decentralisaties op gewezen dat er geen overkoepelende wetgeving is voor de domeinoverstijgende verwerking van persoonsgegevens. Had men geen oor voor. Het moest snel en goed geregeld worden; er kwam geen koepelwet, het moest in hokjes naar de gemeenten.” Wolfsen geeft aan dat dit probleem niet kan worden omzeild door toestemming te vragen aan betrokkenen. “Je moet een grondslag hebben”, aldus Wolfsen. “Dat kan zijn omdat de verwerking van de persoonsgegevens nodig is om een publiekrechtelijke taak uit te voeren of als sprake is van een noodsituatie. Als de nood aan de man is, kan alles, ook wat betreft privacywetgeving.”
Hom of kuit
Om de problemen waar gemeenten tegenaan lopen op te lossen denkt Wolfsen dat het nodig is zowel de materiewetten aan te passen als zorg te dragen voor overkoepelende wetgeving. “Ik kan me voorstellen dat gemeenten zeggen: wetgever geef mij hom of kuit. Als we verantwoordelijk zijn, geef ons dan ook de juridische mogelijkheden.”
Wolfsen benadrukt dat de Autoriteit ook graag aan de voorkant meedenkt over het voorkomen van problemen. “Daar bestaat nog wel eens een misverstand over, alsof onze rol alleen toezichthoudend is. Wij zijn er niet om de mensen het leven zuur te maken, maar om ze hun werk beter te kunnen laten uitvoeren. Natuurlijk kunnen we niet als adviseur van iedere individuele gemeente optreden. Daar hebben we de capaciteit ook niet voor. Maar op landelijk niveau, in overleg met de politie, het OM, de VNG, de Regioburgemeesters en de departementen denken we met alle plezier mee. Dat bied ik bij deze aan.”
Stel die functionaris morgen aan
Een belangrijke ontwikkeling die buiten de grote gemeenten nog onvoldoende op het netvlies van veel gemeenten staat, is de komst van de Europese privacywetgeving in 2018, te weten de Algemene Verordening Gegevensbescherming (AVG). Elke gemeente moet dan beschikken over een functionaris voor de gegevensbescherming, afgekort: een FG of DPO (Engels voor data protection officer).
Wolfsen: “Mijn advies aan de gemeenten is: stel die functionaris zo snel mogelijk aan, liefst morgen. Dat moeten hooggekwalificeerde mannen of vrouwen zijn, die een onafhankelijke positie op niveau binnen de gemeentelijke organisatie moeten innemen. Daar kunnen gemeenten nu al een hoop plezier van hebben met het oog op de huidige problemen met de privacywetgeving. Zij vormen de liaison tussen de Autoriteit Persoonsgegevens en de gemeenten. Die functionarissen kunnen ons dag en nacht bellen. Als ze een vraag of probleem hebben, krijgen ze de volgende dag antwoord van ons.”
Organisaties die, zoals gemeenten, veel persoonsgegevens verwerken, moeten als de nieuwe regels een feit zijn in het geval van een privacyrisico voor de betrokkene een privacy impact assessment (PIA) verrichten. “Als daaruit blijkt dat het privacyrisico hoog is, moeten ze toestemming vragen aan ons”, aldus Wolfsen. “Een ander punt is dat gemeenten in het kader van accountability actief moeten laten zien wat ze doen aan de bescherming van de privacy van burgers. Wij worden een soort ombudsman voor de privacy. Burgers kunnen dan formele klachten bij ons indienen. Daarom is het zo belangrijk dat gemeenten onmiddellijk beginnen met het in huis halen van de juiste expertise in de vorm van een FG, dat kan overigens ook in regionaal verband. Die kan gemeenten nu al veel profijt opleveren.”
Gemeenten kunnen nu al veel doen
Om de bescherming van de privacy van burgers te verbeteren heeft Wolfsen nog wel wat adviezen. In april 2016 publiceerde de Autoriteit een rapport over de rol van toestemming bij de verwerking van persoonsgegevens in het sociaal domein. “Daarin hebben we ook concrete aanbevelingen gedaan,” vertelt hij. “Gemeenten kunnen een aantal dingen doen en daar kan zo’n FG een belangrijke rol in spelen. Het is zaak dat gemeenten een overzicht opstellen met doelen, grondslagen en persoonsgegevens. Concretiseer in dat overzicht voor welke doelen en op basis van welke grondslagen je de gegevens wilt gebruiken. Leg dit vast in beleid en vertaal dat nauwgezet in instructies voor de professionals, zodat deze op een verantwoorde manier kunnen omgaan met persoonsgegevens. Uiteindelijk gaat het erom dat gemeenten hun werk goed kunnen doen, burgers goed bediend worden en dat de wet gerespecteerd wordt. Bij elkaar drie redenen om blij van te worden.”
In het LOVP van 6 februari jl. is gesproken over de informatie-uitwisseling tussen politie en gemeenten en bijbehorende privacyaspecten. Ter verdere informatie treft u de brief met bijlagen aan.
Brief aan minister VenJ - informatiedeling/privacy