Twee jaar na de invoering worstelen gemeenten nog altijd met de uitvoering van de AVG. Ambtenaren die het beleid moeten controleren dragen vaak een dubbele pet. ‘Pas als een datalek in de media komt, neemt de gemeente privacy serieus.’

Met slechts een zoekopdracht via Google waren ruim 20.000 gemeentelijke documenten te vinden met gevoelige informatie. Woonadressen, telefoonnummers en zelfs burgerservicenummers van inwoners uit Hellevoetsluis bleken openbaar toegankelijk. Gegevens waarmee kwaadwillenden enorme schade kunnen aanrichten. Met enkel een burgerservicenummer in bezit kun je al een bankrekening openen. Pas na melding door RTL Nieuws gooide de gemeente het lek dicht.

En deze fout werd niet alleen in Hellevoetsluis gemaakt. Om een groep probleemjongeren in de Rotterdamse wijk Delfshaven in de gaten te houden, deelden gemeente, politie en het Openbaar Ministerie informatie met elkaar. Door een fout van de gemeente werd die informatie - namen, adressen, foto’s en burgerservicenummers van de jongeren - ook met de groep jongeren zelf gedeeld. De fout was binnen de gemeente al in juli 2018 bekend, maar pas in september werden de betrokkenen hierover geïnformeerd.

Medewerkers van gemeente Altena dumpten onder andere kopieën van identiteitskaarten en privacygevoelige informatie van ondernemers bij het grofvuil. Het was Omroep Brabant die de kopieën vrijelijk meenam en liet zien hoe de gemeente omging met privacygevoelige documenten. Sprake van een privacylek? Zeker, oordeelde ook de burgemeester van Altena.

Per jaar ontvangt de Autoriteit Persoonsgegevens zo’n 20.000 van dit soort meldingen, zo blijkt uit recente cijfers. Een groot deel van die datalekken is domme pech, zoals een mail met persoonsgevoelige informatie die naar de verkeerde ontvanger wordt verstuurd. Maar in sommige gemeenten ligt de oorzaak dieper: privacy wordt niet serieus genomen, zo geven ambtenaren die belast zijn met de bescherming van persoonsgegevens aan.

Digitale informatie neemt toe 

Een opmerkelijk signaal. Juist om organisaties bewuster te maken van het risico van dit soort datalekken is immers de Algemene verordening gegevensbescherming (AVG) geïntroduceerd. De kersverse privacywet is sinds twee jaar van kracht, na een EU-besluit dat bedrijven en publieke organisaties zoals gemeenten verplicht om transparanter en verantwoordelijker om te gaan met de persoonsgegevens van medewerkers en consumenten.

Kort gezegd: de AVG-wet verplicht elke organisatie om persoonsgegevens van werknemers en consumenten correct te verwerken. Dat wil zeggen: bedrijven, maar ook overheidsinstellingen moeten inzichtelijk maken welke informatie ze precies verzamelen, wat hiermee wordt gedaan en hoe die data is beschermd.
 

Functionaris Gegevensbescherming

“In de huidige wereld waar digitale informatie steeds belangrijker wordt en er nieuwe gevaren ontstaan, is het belangrijk dat deze Europese wet er is gekomen,” benadrukt Kristina Irion, senior onderzoeker Informatierecht aan de Universiteit van Amsterdam. Een concreet gevolg van de AVG is dat elke organisatie een groot datalek, zoals dat in Hellevoetsluis, Rotterdam of Altena, moet melden bij de toezichthoudende instantie Autoriteit Persoonsgegevens (AP).

Bedrijven die veel persoonlijke gegevens verwerken zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Overheidsinstanties moeten een gespecialiseerd ambtenaar daarvoor aanstellen. Deze toezichthouder controleert het privacybeleid en adviseert bij de besluitvorming omtrent privacy.

In deze crisistijd is het belangrijk voor gemeenten om te weten hoe het coronavirus zich verspreidt onder de bevolking. Het RIVM verzamelt deze data tot op gemeenteniveau en publiceert deze openbaar. Gemeenten kunnen er zelf voor kiezen om een meer gespecialiseerde kaart intern bij te houden. Een functionaris gegevensbescherming kan in dat geval bijvoorbeeld het advies geven dat alleen locaties waar besmettingen zijn vastgesteld worden bijgehouden, zonder bijbehorende namen en persoonsgegevens van inwoners. Op die manier wordt de privacy van deze inwoners beter beschermd.

Om die controlerende taak goed uit te voeren moet de functionaris gegevensbescherming volledig onafhankelijk kunnen werken, zo schrijft de AVG-wet voor. Elk half jaar schrijft hij of zij een privacyrapport waarin staat hoe de gemeente omgaat met persoonlijke gegevens van inwoners. Dat gaat direct naar het bestuur van de organisatie. Dat gebeurt echter niet in alle gemeenten, zo blijkt uit een enquête die verspreid is onder gemeentelijke toezichthouders.

Ze rammelen al twee jaar aan de poorten van hun bestuur, maakten in een enkel geval zelfs een privacylek mee. Toch verdwijnen hun rapporten in een la of zitten ze te laag in de organisatie om invloed te kunnen uitvoeren op de besluitvorming. “Daardoor kan ik niet onafhankelijk werken en kan ik niet direct naar het bestuur met mijn advies.”

Bewustwording, niet onafhankelijk, geen steun van AP 

Uit de enquête, dit najaar uitgevoerd door masterstudenten Journalistiek, blijkt dat 84 van de 110 onderzochte gemeenten op dat moment niet voldoen aan de vereisten van de AVG-wet. Bovendien combineren minstens 26 gemeentelijke toezichthouders hun functie met een andere baan binnen de gemeente. Een constructie die zowel toezichthouder Autoriteit Persoonsgegevens (AP) als Vereniging Nederlandse Gemeenten (VNG) niet wenselijk vinden.

Ruim veertig procent van de geïnterviewde toezichthouders geeft aan dat hun gemeente onvoldoende maatregelen neemt om de persoonsgegevens van de burgers te beschermen. Twintig procent zegt zelfs actief te worden tegengewerkt door de eigen organisatie en maakt zich zorgen over de bescherming van de persoonsgegevens.

In de gesprekken noemen de gemeentelijke toezichthouders drie concrete problemen, waardoor zij hun functie niet goed kunnen uitoefenen. Het eerste probleem is te weinig kennis over de werking van de AVG-wet binnen gemeenten. Ten tweede geven toezichthouders aan dat zij niet voldoende onafhankelijk werken om hun controlerende taak naar behoren uit te voeren. En tot slot krijgen zij van de Autoriteit Persoonsgegevens (AP) niet de steun die zij hadden verwacht.

Context van het onderzoek

Naar alle 355 Nederlandse gemeenten is een vragenlijst verstuurd. Hierin werd naar een aantal meetbare vereisten vanuit de AVG gevraagd, zoals de aanwezigheid van een algemeen privacybeleid en de onafhankelijkheid van de functionaris gegevensbescherming.

In totaal zijn 126 gemeenten aan de vragenlijst begonnen en hebben 99 deze afgemaakt. In totaal zijn 10 gemeenten die de vragenlijst niet hebben afgemaakt, wel in het onderzoek meegenomen. De vragen die relevant zijn voor dit onderzoek zijn hebben zij wel beantwoord. In totaal vormen de 109 gemeenten 30% van het totale aantal gemeenten.

Daarnaast blijkt uit 49 diepte-interviews met functionarissen gegevensbescherming dat 41 procent ontevreden is over hoe de gemeente omgaat met privacy.

▾ Lees hier de uitgebreide verantwoording

In een eerdere versie van deze kaart stond de gemeente Bergen (Limburg) als ‘oranje’ vermeld, omdat een AVG-vereiste – het afsluiten van verwerkersafspraken - nog niet volledig was doorgevoerd. Nadat Bergen (LB) hierover contact met ons heeft opgenomen is gebleken dat deze informatie gebaseerd is op een incorrecte interpretatie van de enquêteresultaten. De kaart is daarop aangepast.

Dit is wat (anonieme) ambtenaren ons vertelden

"Zou zomaar kunnen dat iemand zegt: ‘Joh, knijp even een oogje dicht.’ Je moet als FG dan stevig in je schoenen te staan en dat rapporteren richting de hoogst gevende."

"We zijn in Nederland meer bezig zijn om dingen te doen voor de vorm. Er heerst binnen gemeenten een verkramping en angst voor boetes. Veel organisaties hebben een FG aangewezen om geen boete te krijgen."

"De vorige fg is vertrokken, dus nu ben ik als CISO tijdelijk aangewezen als fg. Dat werkt dus niet, want nu moet ik als fg mezelf als CISO controleren."

"Ik heb zo weinig uren gekregen om de privacy in de gaten te houden. Ik ben de FG van zes gemeenten. Ik ging er een keer tegenin en toen werd er minder fte vrij gemaakt voor de functie."

"De Autoriteit Persoonsgegevens staat niet open om concrete casussen te bespreken. Als je iets in hun ogen niet goed hebt gedaan, krijg je dat pas later te horen."

"Het is onmogelijk alles in één keer te regelen, dus dan ga je prioriteiten stellen. Eerst de wettelijke vereisten halen, en dan pas kijken naar risico-analyses en controles."

1. Privacy: is dat belangrijk dan?

Veel toezichthouders willen alleen spreken op voorwaarde van anonimiteit. Ze zijn bang dat een interview met landelijke media over hun functie, hun baan nog moeilijker maakt. Wel willen ze graag iets over hun werkervaring vertellen. Allemaal met hetzelfde doel: laten inzien hoe moeilijk hun werk in praktijk is, vooral door gebrek aan financiële middelen en een gebrek aan bewustzijn over het belang van privacy. 

Zo vertelt een gemeentelijke toezichthouder die al anderhalf jaar bij de gemeente werkt dat haar in het begin iemand werd beloofd die haar zou ondersteunen in het privacy-werk. Nu is het duidelijk dat dit een valse belofte was. Telkens als ze haar leidinggevende ernaar vraagt, krijgt ze hetzelfde antwoord: “Er is geen geld. Geen budget.”

Een Gelderse toezichthouder: “Zelfs op het organisatieniveau is een derde van de medewerkers nog niet overtuigd dat privacy belangrijk is. Dat is soms best frustrerend.” Een andere anonieme toezichthouder vult hierop aan: “Een bewustwordingscampagne hoeft niet eens geld te kosten, maar ook dat wordt niet door mijn gemeente opgepakt. Het bestuur ziet het nut er niet van in en ambtenaren willen er geen tijd voor vrij maken.”

Johannes Homan, namens VNG het aanspreekpunt voor alle gemeentelijke toezichthouders, herkent dit. “Privacy wordt binnen de gemeente heel vaak als een probleem gezien. Een functionaris gegevensbescherming is iemand die het feestje bederft. Maar, zeggen wij, privacy is geen verpester. Er is meer mogelijk dan je denkt.” Wel wil ziet hij een verschil grote en kleine gemeenten: “Over het algemeen heeft een grote gemeente meer expertise over privacy dan een kleine gemeente.”

Overgeslagen bij besluitvorming

Het is niet alleen een kwestie van prioriteiten. Uit de gesprekken blijkt dat gemeentelijke toezichthouders vaak niet worden uitgenodigd voor vergaderingen of zelfs volledig worden overgeslagen in de besluitvorming. Leidinggevenden snappen niet wat voor belangrijke taak de functionaris gegevensbescherming heeft. Daardoor wordt privacy vaak vergeten.

Onderzoekster Irion vindt dit een zorgelijke ontwikkeling: ook voor de burgers. Volgens de AVG-wet moet een gemeentelijke toezichthouder altijd worden betrokken in de besluitvorming. Op die manier kan diegene adviseren in hoeverre het nodig is om persoonsgegevens van burgers in dit besluit mee te nemen. De onderzoekster legt uit: “Stel je voor: het College vergadert over nieuwe camera’s binnen een parkeergarage. Een gemeentelijke toezichthouder moet tijdens zo’n bespreking de privacy van de burgers proberen te beschermen. Hij kan de vraag stellen of het wel echt nodig is om mensen te filmen. En hoe lang worden deze beelden bijvoorbeeld bewaard? Zo’n functionaris gegevensbescherming is vaak de enige die hierover begint.”

2. Tegenwerking en dubbele petten

Veel van de privacypoortwachters geven aan niet goed te zijn voorbereid op hun nieuwe taak. “Iedereen kan functionaris gegevensbescherming worden,” legt Irion uit. “Je hebt geen diploma nodig.” 

Wat deden gemeenten kort nadat de AVG van kracht werd? Iemand aanstellen die al voor de gemeente werkte en al ‘iets met ict of privacy’ deed. Uit de rondvraag blijkt dat zeker de helft van de gemeenten voor deze constructie heeft gekozen. Een deel van de kersverse gemeentelijke toezichthouders behield daarnaast ook de oude functie. Dat zorgt voor combinaties die wettelijk dubieus zijn, vanwege het gevaar van belangenverstrengeling.

In de ideale situatie heeft elke gemeente een functionaris gegevensbescherming die wordt ondersteund door een Privacy Officer (PO) en een Chief Information Security Officer (CISO). Het is de gemeentelijke toezichthouder die controleert en adviseert. De PO zorgt ervoor dat dit advies wordt uitgevoerd en wordt ingebed in de organisatie. De CISO is belast met de technische uitvoering, bijvoorbeeld het regelen van een goede wachtwoordbeveiliging en een veilig mailsysteem.

Een combinatie van de controlerende en uitvoerende functies is wettelijk niet toegestaan. Zowel VNG als de Autoriteit Persoonsgegevens waarschuwen voor belangenverstrengeling die bij een combinatie van de functie van CISO of PO met die van FG kan optreden. Irion: “Het is als een slager die zijn eigen vlees keurt. In de ene functie moet je bijvoorbeeld een systeem opzetten waarmee je bijhoudt wie een uitkering krijgt, terwijl je in de andere functie moet zeggen of dat een goed en veilig idee is. Hoe ga je daar eerlijk over oordelen?”

Toch komt deze combinatie bij een kwart van de onderzochte gemeenten voor. Een anonieme toezichthouder legt uit dat de oorzaak ligt bij het beperkte budget dat is vrijgemaakt voor zijn functie, een combinatie van toezichthouder en CISO. “Er is nooit gezegd dat het helemaal niet mag. Het is alleen niet wenselijk.”

Ook al vindt de AP de combinatie niet gewenst, er wordt niet op gecontroleerd. De VNG waarschuwt leden voor de risico’s, maar ziet desondanks de gecombineerde functies wel geregeld voorbijkomen. “Gemeenten zeggen dan tegen ons: ‘Wij weten dat het niet mag, maar het is even niet anders,” vertelt Homan. Toch heeft hij liever dat een gemeente tijdelijk die combinatie maakt, dan dat ze helemaal geen functionaris gegevensbescherming hebben. “Anders wordt de functie überhaupt niet uitgeoefend, terwijl dat wettelijk verplicht is.”

'Actief tegengewerkt'

Naast de dubbele functies geven sommige gemeentelijke toezichthouders ook aan dat ze hun werk niet onafhankelijk kunnen uitvoeren. Ze worden onder een tussenpersoon geplaatst, waaraan ze al hun werk moeten rapporteren. Staat er iets kritisch over de omgang met persoonsgegevens in een rapport over de gemeente? Dan moet die informatie eruit worden gehaald, voordat het wordt doorgegeven aan het bestuur. Dergelijke censuur is bij wet verboden. Volgens de AVG mogen gemeentelijke toezichthouders alleen direct bij de hoogste leidinggevenden hun rapport of advies uitbrengen. 

Dat blijkt allerminst het geval. Zo geeft twintig procent van de toezichthouders aan zelfs actief te worden tegengewerkt. Een greep uit de reacties: “Ik trek het niet meer, ik wil stoppen met mijn baan” of “telkens ga je een stap vooruit, en dan weer twee achteruit. Dat heeft zeker voor slapeloze nachten gezorgd.” 

Een duidelijk geëmotioneerde toezichthouder beschrijft haar pogingen om, nadat de AVG van kracht is, een onafhankelijke plek binnen het ambtenarenapparaat te krijgen. Als zij een adviesrapport schrijft waarin ze zegt dat het privacybeleid specifieker zou moeten zijn over wat wel en niet toegestaan is in de desbetreffende gemeente, krijgt ze van niemand een reactie. Weken verstrijken waarin ze niet wordt uitgenodigd voor vergaderingen. Wanneer ze vraagt naar de status van haar advies, krijgt ze als antwoord: “Oh ja, maar het besluit is al genomen.” Conclusie: het huidige beleid is helder genoeg en heeft geen aanpassingen nodig. De toezichthouder zegt daarover: “Ik wil gewoon direct het hoogste bestuur adviseren en niet telkens eerst alles overleggen met een tussenpersoon.”

Eén keer in de maand komt ze samen met twintig toezichthouders uit andere gemeenten. Ze praten over de problemen binnen hun gemeenten en wisselen ervaringen uit. Daar zijn ook de verhalen bekend van toezichthouders die veel tegenwerking krijgen. Sommigen zijn hierdoor zelfs binnen een jaar opgestapt. De anonieme toezichthouder had van tevoren ingeschat dat de functie pittig zou zijn, maar op zoveel weerstand bij het management had ze zeker niet gerekend. “Ik wacht het nog even af, maar anders stop ik ook.” 

De VNG is het ermee eens dat de functie onafhankelijk moet zijn. “Want dan kun je ook onafhankelijk advies geven”, vult Homan aan. “Het bestuur mag daar wel iets van vinden, maar een tussenpersoon mag zo’n advies niet tegenhouden.” Homan erkent dat het lastig is. “Vaak moet je als FG tegen de stroom ingaan.” Daarnaast moet het bestuur weten dat zij eindverantwoordelijk zijn voor privacy, niet alleen de toezichthouder. 

Over twee weken publiceert VNG een handreiking waarin de onafhankelijke positie van de toezichthouders extra wordt benadrukt “Een functionaris gegevensbescherming moet altijd vrij en eerlijk advies kunnen geven.”

3. Autoriteit Persoonsgegevens zie je niet

Vrijwel unaniem zijn de gemeentelijke toezichthouders het met elkaar eens: de Autoriteit Persoonsgegevens laat vrijwel nooit van zich horen. “Mijn ervaring met AP is dat het een overbelaste organisatie is,” zegt Robert Lehman, toezichthouder van de gemeente Velsen (Noord-Holland). “Ze kunnen het aantal meldingen niet aan. En als je ze belt voor vragen of advies, wordt er al snel gezegd dat ze er geen tijd voor hebben.”

AP erkent dat het moeilijk is voor gemeentelijke toezichthouders om persoonlijk contact te krijgen, maar dat er plannen zijn om dit in 2020 te verbeteren. Ook zeggen ze bewust geen antwoord te geven op concrete vragen, omdat ze geen adviesorgaan zijn. “We merken dat functionarissen gegevensbescherming graag hun onderbouwing van adviezen ter toetsing aan ons voor willen leggen. Dat past echter niet bij onze onafhankelijke rol.”

Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, laat in een interview met Argos weten zich bewust zijn van de problemen wijt deze aan een ernstig capaciteitstekort. “We hebben serieuze achterstanden. Over de hele linie knelt het.” Daardoor worden klachten en meldingen vaak later opgepakt. Wel laat Wolfsen weten dat toezichthouders die klem zitten terecht kunnen bij de AP. “Dan gaan we de desbetreffende gemeente actief aanspreken.”

Luister naar het interview van Argos-verslaggeefster Saar Slegers met Aleid Wolfsen.

Boetes

De Autoriteit Persoonsgegevens kan wanneer de AVG overtreden wordt ook een boete uitdelen. In 2019 is dit slechts één keer gebeurd: 460.000 euro voor het Haga Ziekenhuis. Boetes aan gemeenten zijn vooralsnog niet uitgedeeld. Wel zegt AP in de eerste helft van 2019 vier keer een onderzoek te zijn gestart naar gemeenten. “In de tweede helft zullen wij ons meer focussen op te laat gemelde datalekken. Onderzoeken die daaruit voortvloeien zullen mogelijk tot sancties leiden.” Tot nu toe is dit nog niet gebeurd.

Verantwoording

Hoe we dit onderzoek hebben uitgevoerd

De vragenlijst is in de maanden september en oktober onder alle gemeenten verspreid. Aan het eind van oktober is er een herinneringsmail gestuurd naar degene die nog niet gereageerd hadden. De vragenlijst is gebaseerd op een document van de Vereniging Nederlandse Gemeenten (VNG) waarin de wettelijke vereisten en de daaropvolgende praktijkvoorwaarden zijn benoemd. 

Die vereisten die toetsbaar zijn in de vorm van een ‘wel uitgevoerd’ of ‘niet uitgevoerd’-model zijn voorgelegd aan de gemeenten. Wanneer aan alle vereisten voldaan is, hebben gemeenten een groene kleur op de kaart gekregen. Bij één of twee niet voldane vereisten is gekozen voor de kleur oranje. Tot slot hebben gemeenten die aan meer dan twee vereisten niet voldoen of een functionaris gegevensbescherming hebben met een dubbelfunctie die wettelijk niet toegestaan is, de rode kleur gekregen. 

Voor het toetsen van de dubbelfunctie is gebruikgemaakt van een aanvullende vraag op basis van de uitspraak van de Autoriteit Persoonsgegevens in welke situaties een dubbelfunctie direct een belangenconflict oplevert: ‘Krijgt u in uw andere functie te maken met beslissingen over het doel en de middelen van verwerking van persoonsgegevens?’ Is het antwoord op deze vraag ‘Ja’, dan is de gemeente in overtreding van de wet, volgens Autoriteit Persoonsgegevens. 

Zie ook: https://www.informatiebeveiligingsdienst.nl/faq/kan-de-fg-functie-gecombineerd-worden-met-functies-als-ciso-of-gegevensbeheerder-privacy/

Gemeenten zijn vooraf geïnformeerd dat alle antwoorden op de vragenlijst gebruikt kunnen worden in publicaties. Alle percentages die in dit stuk vermeld zijn, zijn op basis van de gemeenten die hebben deelgenomen aan de vragenlijst.