De Autoriteit Persoonsgegevens (AP) is in 2019 een onderzoek onder gemeenten gestart naar de ontwikkeling van zogenaamde smart cities. Met dit onderzoek geeft de AP uitvoering aan haar focus in toezicht voor 2020-2023 naar onder meer de digitale overheid.
Wat zijn smart cities?
Lantaarnpalen met wifi, afvalbakken die zelf afval persen en een melding geven wanneer zij vol zitten, groeiende verkeerstromen met mobiliteitsgegevens reguleren met slimme verkeerslichten: allemaal voorbeelden van technologieën in een smart city. Steden en gemeenten zoeken steeds vaker naar slimme oplossingen voor vraagstukken op het gebied van mobiliteit, energie, veiligheid en huisvesting.
Een smart city is een stad of gemeente waarbij informatietechnologie wordt gebruikt om de openbare ruimte te kunnen beheren of besturen. Het doel is optimalisatie en verbeterd gebruik van deze openbare ruimte aan de hand van verzamelde data. Data kan door sensoren worden gegenereerd, maar ook kan gebruik worden gemaakt van wifi-trackingtechnologie. Hoewel het concept smart city voordelen met zich meebrengt, zijn er ook belangrijke privacy risico’s. Er vindt namelijk op grote schaal verwerking van persoonsgegevens plaats.
Focus AP: Digitale overheid
Eind 2019 heeft de AP haar focus voor de periode 2020-2023 toegelicht. Naast Datahandel en Algoritmes & AI richt de AP zich de komende jaren op de Digitale Overheid. Dit focusgebied wordt programmatisch aangepakt. De belangrijkste aandachtsgebieden binnen Digitale overheid zijn:
- Databeveiliging
- Smart cities
- Samenwerkingsverbanden / ongeoorloofd delen
- Verkiezingen en microtargeting
Aandachtsgebied smart cities
De AP vindt het belangrijk dat overheidsorganisaties vroegtijdig in hun processen stilstaan bij de grondrechten en keuzevrijheden van mensen. Zeker ook omdat in de praktijk van smart cities niet alleen gemeenten een rol spelen, maar ook bedrijven. Tegen die achtergrond kunnen volgens de AP publieke belangen soms verweven raken met private belangen. De AP benadrukt dat overheidsorganisaties hun processen zo moeten inrichten dat zij zo min mogelijk persoonsgegevens verzamelen (privacy by design).
De AP volgt de ontwikkelingen op dit terrein nauwlettend en brengt deze in kaart. Daarbij wordt waar nodig handhavend door de AP opgetreden.
Onderzoek AP
De AP onderzoekt momenteel de manier waarop gemeenten bij de ontwikkeling van smart cities omgaan met persoonsgegevens. Denk hierbij aan gegevens van inwoners, maar ook van bezoekers. Het gaat hierbij om grootschalige verwerkingen en/of stelselmatige monitoring van persoonsgegevens die worden gegenereerd door apparaten die verbonden zijn met internet en die via internet of anderszins gegevens kunnen versturen of uitwisselen. Dergelijke verwerkingen staat op de door de AP vastgestelde lijst waarvoor een DPIA (ook wel gegevensbeschermingseffectbeoordeling genoemd) vereist is.
In het kader van het onderzoek heeft de AP circa een half jaar geleden bij een eerste groep gemeenten deze DPIA’s van Smart City-toepassingen opgevraagd. Recent heeft de AP een bredere groep gemeenten verzocht DPIA’s toe te sturen. De AP wil met het verkennend onderzoek inzicht krijgen in de verwerkingen van persoonsgegevens die binnen deze smart cities worden ontwikkeld en toegepast.
In een later stadium doet de AP op basis van de aangeleverde informatie verdiepend onderzoek op specifieke thema’s of specifieke voorbeelden. Naar verwachting rondt de AP naar verwachting in de zomer van 2020 het onderzoek af. Afhankelijk van de uitkomsten van dit onderzoek volgen mogelijk verdere handhavingsacties.
Welke privacy risico’s zijn verbonden aan de smart city?
Eén van de privacy risico’s bij smart cities is dat persoonsgegevens worden verwerkt zonder dat er een wettelijke grondslag voor bestaat (art. 6 AVG). De AP heeft gemeenten in 2016 er al op gewezen dat zogenaamde wifi-tracking onder strenge eisen is toegestaan en alleen mogelijk is wanneer het noodzakelijk is voor de uitoefening van de publieke taak. Hierbij is het ook van belang dat het verwerken van persoonsgegevens in verhouding staat met het doel dat ervoor gesteld is.
Andere risico’s zien enerzijds op het type persoonsgegeven dat verwerkt wordt en anderzijds voor welk doel de verwerking plaatsvindt. Er bestaat een risico dat er persoonsgegevens worden verwerkt die, gelet op de aard, niet verwerkt mogen worden. Denk aan informatie over iemands gezondheid of religie. Dit zijn bijzondere persoonsgegevens. Verwerking daarvan is in beginsel verboden (art. 9 AVG).
Daarnaast is er het risico van onvoldoende doelbinding. Elke verwerking van persoonsgegevens is beperkt en omlijnd door het doel dat voor de verwerking gesteld is. Het is niet toegestaan om persoonsgegevens te verwerken voor een ander doel dat daarvoor gesteld is. Op het moment dat persoonsgegevens worden gebruikt om bepaalde voorzieningen efficiënter te maken, is het niet de bedoeling dat deze persoonsgegevens vervolgens gebruikt worden voor een ander doel.
Tot slot is er een informatieplicht en zijn er bewaartermijnen ten aanzien van de verwerkte gegevens. De betrokkenen moeten op enige manier worden geïnformeerd over welke gegevens worden verwerkt en met welk doel dit gebeurt. Ook mogen de persoonsgegevens niet langer worden bewaard dan noodzakelijk. Daarna moeten de gegevens worden vernietigd of geanonimiseerd.
Onderzoek toezichthouder
Wordt u geconfronteerd met een onderzoek door de AP? De specialisten van Nysingh hebben veel ervaring met onderzoeken door toezichthouders. Onze ervaring is dat bijstand vanaf het begin van een gestart onderzoek van groot belang is. Het is zaak om zo snel mogelijk inzicht in uw positie te verkrijgen en de strategie te bepalen. Ook kunnen wij een draaiboek voor onderzoeken en invallen opstellen voor praktische houvast.