De Digitale Overheid is één van de drie benoemde focus gebieden voor toezicht van de Autoriteit Persoonsgegevens (AP). Wat betekent dat nu eigenlijk, een Digitale Overheid? Camera’s die mensen in de gaten houden, sensoren die precies weten waar iemand is, besluiten gemaakt aan de hand van data en dat allemaal in het belang van de burger. Voor sommigen is deze gedachte angstaanjagend, terwijl het anderen een geruststellend gevoel geeft. De genoemde ontwikkelingen zijn maar enkele onderdelen van een digitale overheid, er zijn er nog veel meer.

In dit blog gaan we in op de term Digitale Overheid en zullen we u meer vertellen over de onderwerpen waarop het toezicht op de Digitale Overheid van de AP zich zal focussen.

Digitale Overheid? Wat is dat?

De term Digitale Overheid kent geen vaste definitie. U zou kunnen stellen, dat alle innovatieve ontwikkelingen en handelingen gericht op data binnen de overheid bij elkaar als ‘Digitale Overheid’ kan worden aangemerkt. Denk bijvoorbeeld aan Smart Cities, waar onze collega Lucine begin November een blog over schreef of aan datagedreven sturing, zoals bij vroegtijdige schuldhulpverlening.

De AP heeft aangegeven zich in 2020-2023 te focussen op onder andere de Digitale Overheid. Dit omdat het vaak veel impact heeft op de gegevens van burgers. De overheid moet ervoor zorgen dat deze gegevens veilig worden bewaard en op een correcte manier worden verwerkt. Data is tenslotte het nieuwe goud.

In dit blog zullen we ons verder richten op de aandachtsgebieden binnen dit focusgebied van de AP:

  • Databeveiliging;
  • Smart Cities;
  • Samenwerkingsverbanden/ ongeoorloofd delen;
  • Verkiezingen en microtargeting.

Slechte beveiliging

De AP stelt dat het beveiligen van persoonsgegevens vaak nog niet op het te verwachten niveau is. Dit terwijl de overheid juist enorme hoeveelheden bijzondere en gevoelige persoonsgegevens van burgers verwerkt. De verwachting van de AP is dat overheidsorganisaties structureel en op toereikende wijze gaan investeren in hun informatiebeveiliging. Denk hierbij bijvoorbeeld aan het implementeren van een Privacy Management Systeem (PMS), regelmatig auditen van IT-systemen of het in kaart brengen van risico’s en deze mitigeren. Dit zijn slechts enkele maatregelen die zorgen voor een hoger beveiligingsniveau. Bij een Digitale Overheid is het natuurlijk van belang dat de gegevens veilig bewaard en verwerkt worden.

De verwachting is dat de AP als eerste zal gaan kijken naar risicovolle verwerkingen en daarvan Data Protection Impact Assessments (DPIAs) gaat opvragen. Op deze manier kan de AP gemakkelijk op afstand beoordelen of er een DPIA is uitgevoerd en of de genomen maatregelen voldoende doeltreffend zijn.

Slimme oplossingen met data

Door snelle technologische ontwikkelingen is het voor de overheid steeds makkelijker om hun steden ‘smart’ te maken op het gebied van onder andere mobiliteit, energie, veiligheid en huisvesting. Door middel van sensoren kan de overheid enorme hoeveelheden data verzamelen en daarmee gericht naar oplossingen zoeken. Mensen worden hierdoor overal gevolgd zonder dat zij daar weet van hebben. Onbewust stuurt de overheid de burgers op het maken van de ‘juiste’ keuze. Van belang is dat steden en gemeenten vooraf goed nadenken over de impact hiervan op de privacy van de burgers (privacy by design).

De overheid moet in ieder geval zo min mogelijk persoonsgegevens verwerken. Er bestaat enkel rechtvaardiging voor het verzamelen van die gegevens, die ook nodig zijn om het doel te bereiken. Daarnaast moet de overheid rekening houden met koppelingen tussen systemen en datasets. Hierbij ontstaat de mogelijkheid dat ‘anonieme’ gegevens door de koppelingen of grote hoeveelheden data weer herleidbaar zijn naar een persoon.

Mag ik deze gegevens wel delen?

Verder zal de AP zich richten op samenwerkingsverbanden en het ongeoorloofd delen van persoonsgegevens. Hiermee doelt de AP waarschijnlijk op trajecten zoals: vroegtijdige schuldhulpverlening, de bekende driehoek gesprekken tussen het OM, politie en burgemeester en integraal werken. Het doel van dit soort projecten is vaak het verbeteren van de dienstverlening of tijdig kunnen ingrijpen. Goede bedoelingen dus, maar ook hier dienen goede afspraken gemaakt te worden en beveiligingsmaatregelen te worden genomen. Het is namelijk niet de bedoeling dat wanneer iemand een betalingstermijn heeft gemist, deze persoon direct een schuldhulpverlener op de stoep krijgt, of wanneer een tiener een avond laat op straat loopt deze persoon direct aangemerkt wordt als een hangjongere.

Verkiezingen en microtargeting

Als laatste houdt de AP zich in het kader van toezicht op de Digitale Overheid bezig met politieke verkiezingen. De AP zal hier vooral onderzoek verrichten naar een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens in het kader van verkiezingen. We willen natuurlijk geen herhaling van Cambridge Analytica. Persoonsgegevens van miljoenen mensen zijn toen zonder toestemming gebruikt voor profilering en microtargeting. De AP zal hierbij ook toezicht houden op het toepassen van de AVG door politieke partijen zelf.

Wat betekent dit nu eigenlijk?

De AP gaat zich in 2020 tot 2023 dus binnen het focus gebied ‘Digitale Overheid’ vooral richten op de beveiliging van data, Smart Cities, samenwerkingsverbanden, ongeoorloofde gegevensuitwisselingen, verkiezingen en microtargeting.

Wilt u zorgen voor een rechtmatige en veilige verwerking van persoonsgegevens, breng dan de risicovolle gegevensverwerkingen en samenwerkingsverbanden in kaart. Voer vervolgens eventuele noodzakelijke DPIAs uit en controleer welke afspraken er met de samenwerkingspartijen zijn gemaakt en op basis van welke grondslag u de gegevens uitwisselt.

Hulp nodig?

Nog meer tips en advies nodig? Heeft u vragen over het toezicht van de AP op de Digitale Overheid of wilt u sparren over dit onderwerp? Neem dan contact op met onze creatieve en betrouwbare professionals via info@cuccibu.nl of +31 (0) 85 303 2984.