Overal om ons heen wordt data verzameld. Alles wat we doen wordt vastgelegd. Denk aan het internetverkeer, maar ook aan het verkeer op de weg, de stappenteller op je telefoon of zelfs de verwarming in huis. Al deze apparaten leggen een deel van jouw dagelijks leven vast in data.
Er zitten dus ontzettend veel interessante verhalen verstopt in die grote getallenreeksen. Veel organisaties zoals de gemeente, maar ook het bedrijfsleven, verzamelen data over mensen voor bepaalde dienstverlening of productontwikkeling. Maar mag dat zomaar? En hoe gaan zij dan om met al die (persoonlijke) gegevens? Het is natuurlijk niet de bedoeling dat al jouw gegevens zomaar op straat liggen. De regels hierover zijn voor een groot deel vastgelegd in de Algemene verordening gegevensbescherming (AVG).
De nieuwe wet is een heel uitgebreid document. Maar wat betekent het eigenlijk voor jou? In dit artikel lees je vijf vragen en antwoorden hierover.
Wat is privacy en wat zijn persoonsgegevens?
Privacy is de persoonlijke vrijheid en levenssfeer die onszelf en ons handelen, eigenschappen en informatie onderscheidt en afschermt van anderen. Het kan hierbij gaan om één persoon of om een groep mensen, bijvoorbeeld een gezin. Vaak is dit gekoppeld aan de behoefte om als mens zelf te bepalen met wie je informatie deelt en daarmee is privacy dus verbonden aan vrijheid.
Persoonsgegevens zijn de tastbare gegevens waarover het vaak gaat wanneer we het hebben over privacy. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het kan gaan over informatie die direct over iemand gaat of informatie die naar één persoon te herleiden is. Er is hierbij een verschil tussen gewone en bijzondere persoonsgegevens. Persoonsgegevens zijn bijvoorbeeld naam, geboortedatum en adres. Bijzondere persoonsgegevens liggen vaak wat gevoeliger, denk aan ras en godsdienst of informatie over iemands gezondheid.
Wat is de rol van de AVG hierin?
De Algemene Verordening Gegevensbescherming (AVG) is de Europese wetgeving om persoonsgegevens te beschermen. Hierin staat welke verantwoordelijkheid overheden, organisaties en bedrijven hebben wat betreft persoonsgegevens. Ook staan in deze wet welke rechten burgers hebben rondom hun persoonsgegevens. De Autoriteit Persoonsgegevens houdt toezicht op het naleven van deze wet.
Grondslagen
In de AVG zijn zes grondslagen opgenomen voor de verwerking van persoonsgegevens. Een organisatie mag alleen persoonsgegevens verwerken als daar minimaal één grondslag voor is. Deze grondslagen zijn:
- Toestemming van de betrokken persoon;
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
- De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
- De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
- De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Organisaties
Wanneer een organisatie persoonsgegevens verwerkt, is zij zelf verantwoordelijk voor de gegevens die zij verwerkt. Zij moet zorgen dat deze gegevens op een goede manier worden verwerkt en gebruikt en dat deze bovendien veilig worden opgeslagen.
Burgers
Naast de rechten en plichten voor de organisaties die gegevens verwerken, hebben burgers ook rechten wat betreft hun persoonsgegevens. Zo hebben zij recht op inzage, verbetering en/of verwijdering van hun persoonsgegevens bij een bepaalde organisatie.
Verwerking persoonsgegevens
Niet elke organisatie die persoonsgegevens mag verwerken, doet dat helemaal zelf. Soms wordt het uitbesteed aan een derde partij, bijvoorbeeld een administratiekantoor. Hier moeten dan volgens de AVG wel duidelijke afspraken over gemaakt worden in de vorm van een verwerkersovereenkomst. Er zijn twee rollen als het gaat om de verwerking van persoonsgegevens; de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is de organisatie dat de persoonsgegevens verzameld en mag verwerken. De verwerker is de partij die de gegevens ook daadwerkelijk verwerkt. In een verwerkersovereenkomst staan de verantwoordelijkheden van de verwerkingsverantwoordelijke en de taken van de verwerker. Uiteindelijk blijft de verwerkingsverantwoordelijke altijd verantwoordelijk voor de persoonsgegevens en de verwerking hiervan.
In zo’n verwerkersovereenkomst staat onder andere:
- om welke verwerking het gaat;
- welke persoonsgegevens de organisatie hierbij verwerkt;
- voor welk doel de organisatie dit doet;
- op welke manier de organisatie dit doet.
Om het wat concreter te maken, kijken we naar hoe een gemeente als Eindhoven omgaat met de verwerking van persoonsgegevens. Zij zijn in de berichtgeving van Innovation Origins dan ook vaak een bron of duider van gebruikte cijfers. Mariëlle van den Bos, functionaris gegevensbescherming bij de gemeente Eindhoven, legt uit hoe de gemeente omgaat met verwerkersovereenkomsten. “Het kan dus zijn dat je als gemeente de verwerking bij een ander neerlegt, maar je bepaalt wel doel en middelen van zo’n verwerking.” De gemeente heeft bijvoorbeeld zo’n verwerkersovereenkomst met de stichting Wij Eindhoven die zorgt voor de verstrekking van uitkeringen. “De inwoner merkt hier verder weinig van denk ik. Wij blijven als gemeente namelijk verantwoordelijk en hebben alle waarborgen vastgelegd in de verwerkersovereenkomst.”
Wat zijn de verplichtingen van de gemeente?
“Als gemeente hebben wij heel veel te maken met persoonsgegevens. Daar moeten we goed en zorgvuldig mee omgaan”, legt Van den Bos uit. Zij is intern toezichthouder en heeft daardoor veel te maken met de externe toezichthouder, de Autoriteit Persoonsgegevens. De gemeente houdt een register bij waarin staat welke persoonsgegevens worden verwerkt en met welk doel dat gebeurt. Ook toetst zij of die grondslag overeen komt met de eisen van de AVG.
Van den Bos: “Verwerking van persoonsgegeven is heel erg breed. Het kunnen gegevens zijn die de gemeente aan een ander geeft, maar het kan ook het kopiëren of verstrekken van gegevens zijn.” De gemeente bekijkt per verwerking of er een hoog privacyrisico aan zit. Wanneer dit het geval is, verricht zij een Privacy Impact Assessment (PIA). “Bij zo’n PIA kijken we wat we nou precies doen als gemeente en wat het doel daarvan is. Het is heel belangrijk om daarbij te kijken of we alle gegevens die we opvragen ook echt nodig hebben voor een bepaalde verwerking”, legt Van den Bos uit. “Daarnaast beoordelen we de risico’s voor de betrokkenen, voor ons zijn dat vaak de inwoners. Als deze er zijn, kijken we naar maatregelen om die risico’s aan te pakken.”
Hoe gaat de gemeente hiermee om?
De gemeente is alleen verantwoordelijk voor de gegevens die zij zelf verzamelt en niet voor de gegevens die verder nog in de stad verzameld worden. “Maar wij hebben naar onze burgers natuurlijk wel verantwoordelijkheid met betrekking tot de inrichting van de (digitale) openbare ruimte”, zegt Olha Bondarenko, strategisch adviseur bij de gemeente Eindhoven. “Wij kunnen een partij bijvoorbeeld niet dwingen om het bij ons te melden als ze iets meten in de stad. Maar wij hebben wel in ons beleid opgenomen dat wij privacy heel belangrijk vinden en dat wij willen dat bedrijven en organisaties binnen de gemeente zich ook aan de regels voldoen. Een onderdeel daarvan is dat wij de data die wordt verzameld in de stad beschikbaar willen maken voor bewoners en andere partijen om daar gebruik van te maken.”
Het sensorenregister is een voorbeeld waarin de gemeente samenwerkt met verschillende partijen die data verzamelen om voor burgers inzichtelijk te maken waar units staan of hangen die data verzamelen. Zo weten burgers ook beter waar ze moeten zijn als ze iets willen weten over die apparatuur of de data die zij verzamelen. Bondarenko: “Lokaal hebben wij nog te weinig middelen om af te dwingen dat de transparantie in de openbare ruimte ook op digitaal gebied vergroot wordt.” De gemeente werkt samen met de VNG en het ministerie van Binnenlandse Zaken om hier verandering in te brengen.
Smart Society
De Vereniging Nederlandse Gemeenten (VNG) riep aan het begin van 2018 hun leden op ‘om actief deel te nemen aan de activiteiten van het kennisnetwerk Smart Society en deel te nemen aan het traject om de principes verder uit te werken’. De principes van de Smart Society zijn opgezet door de gemeenten Eindhoven en Amsterdam. Deze vier principes gaan onder meer over de doelen van digitale infrastructuur, de rol van de overheid en de openheid van gegevens. Dit is dus een uitgangspunt voor gemeenten. “Wij hopen dat dit soort initiatieven en misschien op den duur zelfs wetgeving steeds verder worden uitgerold om de transparantie op datagebied in de openbare ruimte te verzorgen”, aldus Bondarenko.
Het gaat hierbij volgens Bondarenko niet altijd alleen om data waar de privacy van inwoners in het gedrang komt. “Het is veel breder dan alleen persoonsgegevens. Want misschien is de data niet tot een persoon herleidbaar maar misschien wil je als inwoner toch weten wat er met die data gebeurt. De openbare ruimte is van iedereen en je wil daar, denk ik, gewoon zelf de controle hebben als bewoner.”
Toch is er volgens haar ook een ander kant, namelijk die van bedrijven. “Zij kunnen die data vaak ook goed gebruiken, bijvoorbeeld voor evenementenmanagement, crowdcontrol en veiligheid in de openbare ruimte. Voor de inwoners kan dit ook relevant zijn omdat daarmee hun veiligheid op straat wordt vergroot. Dus kun je je dan ook afvragen hoe het is als er data verzameld wordt. Zolang er natuurlijk zorgvuldig mee om wordt gegaan”, legt Bondarenko uit. “Daarnaast gebruiken bedrijven data om te innoveren en producten te ontwikkelen dus wij willen als overheid die innovatie ook niet in de weg zitten. Daarom denk ik dat de inwoners een balans moeten vinden tussen ‘ik wil niet gemeten worden’ en ‘ik wil in een veilige stad wonen’. Dat is een balans waarover we het gesprek met elkaar aan moeten gaan.”
Wat kun je zelf doen?
“De hele digitaliseringsagenda van de overheid gaat ook vaak over bewustwording en kennis. Weet je wat er met je gegevens gebeurt en kun je daar zelf over beslissen?” zegt Bondarenko. Van den Bos vult aan: Een inwoner heeft gewoon veel meer rechten en mogelijkheden dan die zelf weet of denkt. Mensen hebben wel degelijk controle over de gegevens die bij een organisatie liggen. Daarnaast worden die organisaties zich ook steeds meer bewust van de privacy en het belang daarvan.”
Volgens Bondarenko komt het uiteindelijk neer op vertrouwen. “Je moet als burger het vertrouwen hebben dat jouw gegevens niet misbruikt worden.” Daar moet volgens haar de gemeente ook aan bijdragen “Het is een emotie. We kunnen als gemeente juridisch wel van alles aftikken, maar voor inwoners is het gewoon gevoel. Dus zelfs als je als gemeente aan de juridische normen voldoet, moet je het met elkaar hebben over ethiek, emotie en gevoel rondom de dataverzameling en privacy.” Wanneer alles goed geregeld is én het goed voelt voor de inwoners zijn er volgens Bondarenko zeker kansen en mogelijkheden met data voor de toekomst.