Vragen van het lid Leijten (SP) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over signalen dat gemeenten slecht voldoen aan de verplichtingen uit de privacywet (ingezonden 2 juni 2022).

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties), mede namens de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en voor Rechtsbescherming (ontvangen 2 september 2022).

Vraag 1

Herkent u de signalen dat gemeenten hun informatiehuishouding slecht op orde hebben? Kunt u dit toelichten?1

Antwoord 1

Ik heb kennisgenomen van het rapport van Bits of Freedom (BoF) en daaruit blijkt dat de informatiehuishouding bij 10 grote gemeenten niet goed op orde is. Er zijn de afgelopen tijd diverse voorbeelden geweest van overheidsorganisaties waar de naleving van de AVG beter moet. Het achterblijven van de naleving van de AVG vind ik een kwalijke zaak. Burgers moeten erop kunnen vertrouwen dat hun gegevens op rechtmatige wijze worden verwerkt, zeker bij de overheid. Om die reden is het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) op ons verzoek momenteel bezig met een onderzoek naar de naleving van de Algemene verordening gegevensbescherming (AVG) door overheden.

Naar aanleiding van het rapport van BoF ga ik in gesprek met de Vereniging Nederlandse Gemeenten (VNG) en gemeenten om te kijken op welke wijze het kabinet kan ondersteunen bij het op orde krijgen van hun informatiehuishouding. Gemeenten zullen daarmee dan zelf aan de slag moeten; de verantwoordelijkheid voor de naleving van de AVG ligt uiteindelijk bij de gemeente zelf als verwerkingsverantwoordelijke. Verder verwijs ik naar het antwoord op vraag 3 van het lid Bouchallikh (GroenLinks) aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over het onderzoek «De staat van privacy bij gemeenten» van Bits of Freedom (ingezonden 9 juni 2022).

Vraag 2

Bent u het met de onderzoeker eens dat, voordat gemeenten aan de slag gaan met nieuwe technologieën en data-gedreven werken, eerst de basis op orde moet zijn? Zo nee, waarom niet?

Antwoord 2

Ja, ook bij experimenten met nieuwe technologieën achten wij het van belang dat de geldende regelgeving wordt gehanteerd en, indien er persoonsgegevens worden verwerkt, conform de AVG gehandeld wordt.

Vraag 3

Hoe verklaart u dat gemeenten te weinig middelen vrijmaken voor gegevensbescherming? Ziet u een verband met de bezuinigingen vanuit het Rijk op gemeenten de afgelopen jaren en het nijpende personeelstekort bij vele gemeenten?2 3 4 5 6 7 8

Antwoord 3

Het rapport beschrijft dat in de onderzochte gemeenten er onvoldoende middelen worden ingezet, waardoor privacy-teams onderbezet blijken met als gevolg dat er onvoldoende geadviseerd kan worden over gegevensbescherming en -beveiliging. Het kabinet signaleert dat personeelstekorten bij gemeenten ertoe leiden dat bepaalde gemeentelijke taken minder goed kunnen worden uitgevoerd. Veel gemeenten kampen met een groot aantal vacatures. Met betrekking tot het bevorderen van gegevensbescherming bij gemeenten heeft het kabinet naar aanleiding van de Parlementaire ondervragingscommissie Kinderopvangtoeslag (POK) extra geïnvesteerd in informatiehuishouding en dienstverlening bij uitvoeringsorganisaties en gemeenten. Er wordt 150 miljoen structureel geïnvesteerd in gemeenten, die bestemd is als impuls voor onder andere digitale dienstverlening en informatiepunten, robuuste rechtsbescherming, systeemleren, versterking van de uitvoeringscapaciteit en integraal werken. Echter, niet alles is een kwestie van budget. Bewustwording en normbesef zijn begrippen die voor de hele maatschappij gelden: voor iedere burger, ieder bedrijf en iedere organisatie die persoonsgegevens verwerkt. De overheid vormt daarop geen uitzondering. En hoe meer AVG-bewustzijn er is op besluitvormend niveau, hoe meer we voorkomen dat er een werkwijze ontstaat die indruist tegen de AVG.

Vraag 4

Ziet u het gevaar van gemeenten die wel gebruik maken van algoritmes en data om fraude op te sporen, maar tegelijkertijd de gegevensbescherming niet op orde hebben?

Antwoord 4

Dit risico zie ik ook. Ik verwijs naar het antwoord op vraag 2.

Vraag 5

In hoeverre houdt u toezicht op de mate van kwaliteit van gegevensbescherming bij gemeenten? Kunt u dit toelichten?

Antwoord 5

Het kabinet houdt geen toezicht op de naleving van de AVG bij gemeenten. Dat is primair de taak van de Functionaris Gegevensbescherming (FG), de interne toezichthouder van de gemeente. Deze rol vindt het kabinet belangrijk en heeft voor de naleving van de AVG een sleutelpositie. De rol van de FG als verlengstuk van de toezichthouder binnen een organisatie is dan ook van groot belang. Daarom onderzoekt de Minister voor Rechtsbescherming of er een nationaal register voor FG’s kan worden opgericht, waarmee we deze functie verder professionaliseren. Daarmee kunnen we een belangrijke stap zetten in het toezicht, ook op overheidsorganisaties. Het toezicht op de toepassing van de AVG in brede zin is belegd bij de Autoriteit Persoonsgegevens (AP).

Vraag 6

Kunt u toelichten wat de mogelijkheden zijn tot handhaving zodat gemeenten de gegevensbescherming van mensen op orde krijgen?

Antwoord 6

Handhaving en toezicht van de AVG zijn taken van de AP. De taken en bevoegdheden van de AP staan in de Algemene verordening gegevensbescherming (AVG) en zijn verder uitgewerkt in de Uitvoeringswet AVG (UAVG). Alhoewel toezicht vaak wordt benoemd als belangrijkste taak, is voorlichting dat ook. Voorlichting heeft een preventieve werking op de toezichthoudende taak van de AP. Op de website van de AP is voldoende informatie te vinden voor eenieder die persoonsgegevens verwerkt.

Vraag 7

Bent u bereid om gemeenten te verbieden gebruik te maken van voorspellende algoritmes zo lang deze niet getoetst zijn en de rechtsbescherming van mensen niet gewaarborgd kan worden? Zo nee, waarom niet?

Antwoord 7

Om de rechten van burgers te beschermen, moeten overheden zich aan wet- en regelgeving houden en daarbij wordt nieuwe wet- en regelgeving voorbereid die ook op algoritmische voorspellende besluitvormingssystemen van toepassing is.

Er is al een kader dat voorspellende algoritmen reguleert: de Grondwet en de fundamentele mensenrechten vereisen dat waar een inbreuk op een recht is toegelaten, deze inbreuk wettelijk moet worden geregeld en noodzakelijk en proportioneel moet zijn. Domein-specifieke wetgeving reguleert de bevoegdheid waaruit besluitvorming volgt. Het bestuursprocesrecht stelt regels aan besluitvorming, zoals de motivering ervan en hoor en wederhoor. Het non-discriminatierecht verbiedt het maken van een (ongerechtvaardigd) onderscheid tussen mensen. De privacy- en gegevensbeschermingswetgeving – waaronder de AVG – stelt regels aan het gebruik van persoonsgegevens. De AVG verplicht onder meer tot het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) als een gegevensverwerking een hoog privacy-risico oplevert voor de mensen waarvan de gegevens worden verwerkt. Dat geldt ook als daarvoor een (voorspellend) algoritme waarin persoonsgegevens worden verwerkt wordt ingezet.

Specifiek voor AI-systemen met een hoog risico voor mensenrechten, de gezondheid en veiligheid is er in EU-wetgeving (AI-verordening) in voorbereiding die met name de ontwikkelingsfase van deze systemen verder reguleert.

De AI-verordening, is in belangrijke mate van toepassing op voorspellende algoritmen of algoritmische besluitvormingssystemen bij de overheid. Voor AI-systemen met een hoog risico is voorzien in een set eisen aan de ontwikkeling en ingebruikname van deze systemen waaraan aantoonbaar moet zijn voldaan. Zo moet een risico analyse worden gedaan en worden onder andere eisen gesteld aan de datakwaliteit; de accuraatheid van het systeem; moet het systeem voldoende transparant zijn voor degene die het toepast en moet er adequaat menselijk toezicht op mogelijk zijn. Dit wordt verder uitgewerkt in de werkagenda Digitalisering.

Vraag 8

Is er onderzoek gedaan naar de vraag in welke mate lokale volksvertegenwoordigers in staat zijn om hun controlerende taak op dit gebied uit te voeren? Zo nee, bent u daartoe bereid?

Antwoord 8

In het Adviesrapport «Sturen of gestuurd worden» wijst de Raad voor het Openbaar Bestuur (ROB) volksvertegenwoordigers en bestuurders, maar ook de ambtenaren die hen ondersteunen, op de dringende noodzaak om de legitimiteit van sturen met data te waarborgen.9 In het rapport stelt de ROB onder andere dat het noodzakelijk is dat (interbestuurlijke) samenwerking bij digitaliseringsprocessen gebeurt op een manier dat deze rekening houden met publieke waarden, waaronder transparantie en verantwoording. Ik ga graag met de VNG en de Vereniging van Raadsleden in gesprek hoe we de adviezen uit het rapport verder kunnen uitwerken.


X Noot
1

Bits of Freedom, «De staat van privacy bij gemeenten», 25 mei 2022, www.bitsoffreedom.nl/wp-content/uploads/2022/05/Bits-of-Freedom-De-staat-van-privacy-bij-gemeenten.pdf

X Noot
2

Noordhollands Dagblad, «gemeente Zaanstad kan het werk niet meer aan door verzuim en personeelstekort», 29 januari 2022, www.noordhollandsdagblad.nl/cnt/dmf20220128_67339002?utm_source=google&utm_medium=organic

X Noot
3

deKrant, «Personeelstekort dreigt bij de gemeente Noordenveld», 21 oktober 2021, dekrantnieuws.nl/personeelstekort-dreigt-bij-de-gemeente-noordenveld/

X Noot
4

Brabants Dagblad, «De gemeente bellen? Helaas, Waalwijk is op sommige dagen alleen bij spoed bereikbaar door personeelstekort», 22 mei 2022, www.bd.nl/waalwijk-heusden-e-o/de-gemeente-bellen-helaas-waalwijk-is-op-sommige-dagen-alleen-bij-spoed-bereikbaar-door-personeelstekort~a7192d22/?cb=2038aae6d3ce7d738d33afd65c3484fe&auth_rd=1

X Noot
6

Dagblad van het Noorden, «Torenhoog ziekteverzuim in organisatie gemeente Aa en Hunze neemt af», 17 mei 2022, dvhn.nl/drenthe/Torenhoog-ziekteverzuim-in-organisatie-gemeente-Aa-en-Hunze-neemt-af-27697186.html

X Noot
7

Barneveldse Krant, «Drie weken wachten op een paspoort is inmiddels standaard», 5 april 2022, www.barneveldsekrant.nl/lokaal/maatschappelijk/808186/-drie-weken-wachten-op-een-paspoort-is-inmiddels-standaard-

Naar boven