Haastige spoed, is volgens de AP nooit goed
27 januari 2023
Privacy bij de gemeente, een ondergeschoven kindje?

De afgelopen jaren schoof het rijk steeds meer taken richting de gemeenten. Gemeenten staan onder druk, want hoe moeten deze taken worden ingevuld? Kennis, personeel en geld zijn lastig te verkrijgen. We zijn daarom vaak al blij als privacy aspecten überhaupt worden meegenomen als de gemeente een nieuwe taak gaat uitvoeren.

 

DPIA
In een aantal situaties moet een risicoanalyse worden uitgevoerd, een zogenaamde DPIA. Het uitvoeren van een DPIA duurt meestal drie maanden. In de praktijk kan het natuurlijk veel sneller, maar voordat de Privacy Officer en medewerkers tijd hebben of een externe partij hebben gevonden ben je vaak al maanden verder. Om deze reden worden sommige projecten eerder gestart dan dat de DPIA is uitgevoerd. Begrijpelijk, zeker als de druk hoog is.

 

En de afgelopen jaren was de druk hoog. Corona, energie, de opvang van Oekraïners en noodopvang zijn slechts enkele voorbeelden waarbij de gemeenten direct actie moesten ondernemen en zeker geen tijd hadden om maanden te wachten zodat er een risicoanalyse kon worden uitgevoerd. In de praktijk kan bijna geen enkel project drie maanden wachten omdat er reeds een projectplanning is gemaakt, externen zijn ingehuurd etc. DPIA’s worden daarom vaak achteraf uitgevoerd. In het boetebesluit van 21 december van de Autoriteit Persoonsgegevens is een duidelijk oordeel gegeven: een volledige DPIA is verplicht ongeacht de maatschappelijke opdracht en de haast die wordt ervaren.

 

Coronacrisis en privacy
En er was haast tijdens de coronacrisis in 2020! Er was een grip 4 situatie ontstaan waarbij de coronabesmettingen opliepen; de gemeente Rotterdam en politie hadden alle reden om de noodmaatregelen te handhaven. De politie zette daarom camera-auto’s in. Politie en gemeente gingen zorgvuldig te werk, zo werd het juridisch kader en praktische werkwijze omschreven. Ook werden beperkende maatregelen genomen zoals het niet langer bewaren van gegevens dan noodzakelijk en het korter bewaren van beeldmateriaal dan de richtlijnen voor camera’s. Kortom, de gemeente en politie zijn zorgvuldig geweest in het proces en de risico’s werden beperkt. Er was alleen geen schriftelijke risicoanalyse uitgevoerd. De politie heeft twee weken later wel een pré-DPIA uitgevoerd. Uit deze pré-DPIA kwamen geen redenen om een (volledige) risicoanalyse uit te voeren.

 

Boete
Ondanks de reële druk en inzet is de Autoriteit Persoonsgegevens van mening dat er wel een volledige risicoanalyse had moeten worden uitgevoerd. Er is daarom een boete aan de politie opgelegd van €50.000 euro wegens het schenden van de privacy door het maken van beelden door camera-auto’s. Wel krijgt de politie een korting van 12% op de boete wegens de maatschappelijke druk/haast. Dit roept de vraag op hoe de gemeenten hier mee kunnen omgaan.

 

Versnelling bij haast
Volgens de AP is haast dus geen reden om geen risicoanalyse uit te voeren. Maar in de praktijk kan de gemeente of politie niet altijd wachten op een volledige DPIA voordat een verwerking wordt gestart.

 

Vooropgesteld, privacy is slechts één van de grondrechten die wij als Europeaan hebben. Dat betekent dat de gemeente als verantwoordelijke een afweging moet maken. Een dergelijke afweging tussen de grondrechten hoeven wij niet te verwachten van de Autoriteit Persoonsgegevens. Zij zijn immers alleen maar toezichthouder op de AVG en mogen in deze hoedanigheid ook geen afweging maken met de andere grondrechten. Dit betekent dat onze toezichthouder vaak erg kort door de bocht kan zijn. Al met al heeft de Autoriteit Persoonsgegevens wel een punt dat risicobeheersing een integraal onderdeel dient te zijn van de besluitvorming. Zo moeten risico’s in een vroeg stadium worden herkend en worden gewogen. Door het benoemen en wegen van risico’s wordt al snel voldaan aan de verplichte risicoanalyse. Dit vraagt echter veel van de organisatie.

 

Medewerkers en management moeten in staat zijn om de risico’s te herkennen en te wegen. In de praktijk blijkt dat lastig te zijn. Om dit proces te ondersteunen biedt Segment opleidingen aan medewerkers en management aan. Na het volgen van de trainingen kunnen risico’s worden herkend en besluiten worden genomen op basis van de risico’s. Om deze reden kunnen zo wel managers als medewerkers bij Segment worden getraind. Hierdoor is het mogelijk om ook bij haast een risicoanalyse te maken.

 

Bekijk ons cursusaanbod op het gebied van privacy