Overheden hebben meer aandacht voor naleving privacynormen, maar vanzelfsprekend is het nog niet
Sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) in 2016 hebben overheden veel gedaan om zorgvuldiger om te gaan met persoonsgegevens. Toch is verdere verbetering zeker mogelijk en nodig, met name bij gemeenten en ministeries. Dat blijkt uit onderzoek van Pro Facto en Hooghiemstra & Partners, in opdracht van het WODC.
De overheid heeft een voorbeeldfunctie in de naleving van wettelijke en verdragsrechtelijke normen. Burgers moeten er dan ook op kunnen vertrouwen dat hun gegevens waarover overheden beschikken goed zijn beschermd. In de afgelopen jaren zijn er echter verschillende situaties geweest waarin overheden tekort schoten in de naleving van de AVG. Denk aan wifitracking door gemeenten en het door het ministerie van Defensie verzamelen van gegevens van burgers om verspreiding van desinformatie te voorkomen tijdens de coronacrisis. Ook bij uitvoeringsorganisaties waren er problemen, waarvan die bij de Belastingdienst het meest bekend zijn als gevolg van de Kinderopvangtoeslagaffaire. De minister van Binnenlandse Zaken en de minister voor Rechtsbescherming hebben daarom besloten dat de naleving van de AVG door overheden moet worden onderzocht. Dit rapport doet verslag van dat onderzoek.
Serieus werk van naleving AVG
Uit het onderzoek blijkt dat het op dit moment beter gesteld is met de naleving van privacynormen door overheden dan voor de komst van de AVG. Overheden maken daar serieus werk van. Zo is de kennis van de AVG bij overheidsorganisaties sterk verbeterd. Verder hebben overheidsorganisaties beleid vastgesteld over de AVG en over de inrichting van de privacy-organisatie. Ook heeft de AVG gezorgd voor een toegenomen bewustzijn van privacybescherming.
Naleving minder vanzelfsprekend bij gemeenten en ministeries
Tegelijkertijd laat het onderzoek zien dat er juist op dat gebied nog veel te doen is. Onvoldoende bewustzijn van het belang van het gegevensbeschermingsrecht blijkt namelijk vaak de oorsprong van overtredingen van de AVG bij de bestudeerde overheidsorganisaties. Daarbij constateren de onderzoekers een belangrijk verschil tussen ‘politieke’ overheidsorganisaties, zoals gemeenten en ministeries, en ‘technische’ overheidsorganisaties, waaronder uitvoeringsorganisaties op rijksniveau. Omdat deze organisaties vaak werken met grote databestanden en registraties, leven zij op een meer vanzelfsprekende manier de normen van de AVG na.
Bij de gemeente en het ministerie wordt de bescherming van persoonsgegevens sterker bepaald door politiek-bestuurlijke afwegingen. Binnen de weging van belangen delft het privacybelang dan soms het onderspit. Privacy moet al aan de voorkant bij de verwerking van data aandacht krijgen en niet pas nadat de belangrijkste beslissingen zijn genomen. Bewustwording is daarvoor volgens de onderzoekers een kernpunt. Dan gaat het ook over de prioriteit die bestuur en directie aan het onderwerp geven. En er moet oog zijn voor de dilemma’s die naleving van de AVG soms met zich mee kan brengen en de toegevoegde waarde van het voeren van een expliciet gesprek daarover.
Praktische verklaringen
Daarnaast zijn er meer praktische verklaringen voor het tekortschieten van de privacybescherming. Zo lukt het organisaties niet allemaal even goed om de privacy-organisatie in de praktijk neer te zetten. Dit heeft zeker te maken met de arbeidsmarkt, maar de onderzoekers sluiten niet helemaal uit dat de mate waarin de privacy-organisatie prioriteit krijgt in een organisatie daarbij ook meespeelt.