Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2021-2022 | 3855 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2021-2022 | 3855 |
Bent u bekend met het onderzoek van Bits of Freedom, waarin zij concludeerden dat negen van de tien grootste gemeenten zich onvoldoende aan de Algemene Verordening Gegevensbescherming (AVG) houden, onder meer omdat gemeenten onvoldoende overzicht hebben over de gegevens die ze verwerken en beveiligen, en hoe er met verzoeken van burgers wordt omgegaan om hun gegevens in te zien?1
Hoe verklaart u dat deze gemeenten onvoldoende en onzorgvuldig omgaan met gegevens van hun inwoners, terwijl de AVG al vier jaar van kracht is, en de gemeente Utrecht, als enige, zich wel houdt aan deze verordening?
De praktijk van digitalisering blijkt weerbarstig. Gemeenten hebben te maken met veel informatiesystemen die hen helpen om hun taken uit te voeren. Wanneer daarbij persoonsgegevens worden verwerkt, moeten deze processen in overeenstemming met de AVG worden uitgevoerd. Dit blijkt helaas niet altijd het geval te zijn. Het onderzoek van BoF noemt mogelijke oorzaken, zoals capaciteitsproblemen waardoor er onvoldoende middelen worden vrijgemaakt voor gegevensbescherming. Desalniettemin mag de samenleving van de overheid verwachten dat zij de huishouding op orde heeft en dat de overheid zelf voldoet aan de standaarden van het gegevensbeschermingsrecht. Ook bij deze gelegenheid wil het kabinet nogmaals tot uitdrukking brengen dat wanneer de overheid het in haar gestelde vertrouwen beschaamt, het kabinet zich dat aan trekt. Daarom zal ik in gesprek treden met de Vereniging Nederlandse Gemeenten (VNG) en gemeenten om te kijken op welke wijze het kabinet kan ondersteunen bij het op orde krijgen van hun informatiehuishouding, tegelijkertijd verwacht ik van hen een concreet plan hoe de naleving van de AVG op orde gebracht kan worden.
In zijn algemeenheid heeft de naleving van de AVG door overheden, waaronder gemeenten, al langer de zorg van zowel het vorige als het huidige kabinet. Graag verwijs ik in dit verband naar de Kamerbrief d.d. 29 april jl.2, waarin ik met de Minister voor Rechtsbescherming en de Minister van Binnenlandse Zaken en Koninkrijksrelaties het belang heb onderstreept dat juist overheden de AVG naleven. Om te onderzoeken waarom dit nog lang niet altijd goed gaat, is – zoals in voornoemde brief gemeld – het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) momenteel doende met onderzoek hiernaar. De resultaten worden na de zomer verwacht. We verwachten dat dit onderzoek mede inzicht geeft in de door BoF geconstateerde lacunes in de naleving.
Wat voor beeld vindt u dat het geeft aan andere organisaties dat een voorbeeldorganisatie als de gemeente zich niet houdt aan de AVG?
Wij staan achter de zienswijze van het vorige kabinet3 dat de overheid zelf voorop moet lopen bij de eerbiediging van de persoonlijke levenssfeer en de bescherming van persoonsgegevens. De overheid heeft immers een voorbeeldfunctie bij de naleving van wettelijke en verdragsrechtelijke normen. Burgers moeten erop kunnen vertrouwen dat hun gegevens goed zijn beschermd wanneer deze worden verwerkt door de overheid. Duidelijk mag dan ook zijn dat wij vinden dat alle gemeenten, net als een ieder die persoonsgegevens verwerkt, zich moeten houden aan de AVG.
Erkent u dat dit niet een alleenstaand incident is, maar dat het niet naleven van de AVG een probleem is in meerdere overheidsorganisaties, zoals de Belastingdienst?4 Zo nee, waarom niet?
Wat doet u nu concreet na dit soort incidenten en hoe voorkomt u dat wij hoppen van digitaal schandaal naar digitaal schandaal?
De samenleving mag van de overheid verwachten dat zij de huishouding op orde heeft en dat de overheid voldoet aan de standaarden van het gegevensbeschermingsrecht. Naast het onder antwoord 2. genoemde WODC-onderzoek, waaruit vervolgacties zullen voortkomen, spant het kabinet zich op verschillende manieren ervoor in om de informatiehuishouding van de rijksoverheid op orde te brengen.
Zo wordt gewerkt aan versteviging van privacy binnen overheidsorganisaties.5 Tevens wordt door de Minister voor Rechtsbescherming gekeken naar de huidige rol van de Functionaris Gegevensbescherming (FG) als toezichthouder binnen een organisatie. Onderzocht wordt of deze functie verder kan worden versterkt.
Op het gebied van transparantie bij algoritmische systemen, is het kabinet bezig algoritmeregisters op te zetten, wat uiteindelijk voor overheidsorganisaties wettelijk verplicht zal zijn.6 Doordat de overheid open en transparant moet functioneren, maakt dit de toepassing van algoritmes door de overheid inzichtelijk en toetsbaar. Tevens ontwikkelt het kabinet een implementatiekader (inclusief verplichtingen) voor toepassing van algoritmes door de overheid met daarin (deels verplichte) waarborgen die in acht moeten worden genomen bij de inzet van algoritmen, zoals de mensenrechtentoets en extra maatregelen om discriminatie te voorkomen.
Verder ontwikkelt de VNG een «raadacademie» die beoogt de digitale geletterdheid van raadsleden te verbeteren zodat zij beter in staat zijn om een controlerende functie uit te oefenen. Tot slot worden er plannen gemaakt voor een «aanjaagteam digitale grondrechten en ethiek» en denkt de VNG mee bij de doorontwikkeling en implementatie van Code Goed Digitaal Openbaar Bestuur (CODIO).7
Hoe gaat u deze gemeenten op de korte termijn helpen om wel te voldoen aan de regels van de AVG, die inmiddels al vier jaar verplicht zijn?
Zie voorgaande vraag. Ik ga de instrumenten genoemd in het vorige antwoord beter onder de aandacht brengen van gemeenten, samen met de VNG. Gemeenten blijven natuurlijk altijd zelf verantwoordelijk voor hun informatiehuishouding en het naleven van de AVG.
Deelt u de constatering dat er onvoldoende budget is voor elke Functionaris Gegevensbescherming (FG) van elke gemeente om intern onderzoek te doen en dat deze problematiek samenhangt met het tekort aan budget voor de Autoriteit Persoonsgegevens om al hun taken een waardevolle invulling te geven? Ziet u ook in dat ondanks de recente verhoging van het budget van de Autoriteit Persoonsgegevens, dit onvoldoende is voor alle wettelijke verantwoordelijkheden die zij nu hebben en gaan krijgen, als «Algoritme Waakhond»?
Eind 2020 deed KPMG-onderzoek naar de capaciteit die de Autoriteit Persoonsgegevens (AP) nodig heeft. Dat leverde een bandbreedte op van 19 tot 45 miljoen euro. Ten tijde van het KPMG-onderzoek bedroeg het budget van de Autoriteit Persoonsgegevens € 19 miljoen euro. Met het coalitieakkoord is dit uitgebreid tot (afgerond) € 28,7 miljoen in 2022. In de komende jaren stijgt dit door tot € 35 miljoen in 2027. Dit is nog zonder de algoritmetoezichthouder, waarvan de invulling momenteel wordt uitgewerkt. Het budget beweegt zich dus binnen de bandbreedtes die KPMG had bepaald. Het kabinet is niet van mening dat er te weinig geld is voor de AP en ziet om die reden niet de door de vraagsteller gesuggereerde samenhang.
Hoe beoordeelt u het feit dat uit dit onderzoekt blijkt dat er veel verschil bestaat tussen gemeenten rondom de frequentie van verslagen van de interne toezichthouders (FG’s) en dat dit soms per kwartaal gebeurt, soms jaarlijks en soms nooit? Deelt u de mening dat er meer sturing nodig is op verslaggeving door de FG’s binnen gemeenten, bijvoorbeeld in de vorm van richtlijnen die opgezet worden door de VNG?
De FG is van groot belang. Zoals ik in antwoord op vraag 5 reeds aangaf, dient de FG als toezichthouder binnen de organisatie. Deze kan ook aan de bel trekken als er iets niet in de haak is en moet de organisatie doorlopend monitoren. De FG moet daarom serieus worden gesteund door de organisatie en voldoende toegang en middelen krijgen. Daarom organiseert de Informatiebeveiligingsdienst (IBD) via verschillende FG-collectieven kennisdeling en kennisvermeerdering.8 Ook biedt de AP op diverse manieren ondersteuning aan FG’s, zoals door een speciale FG-contactkanalen.
Hoe gaat u gemeenteraden ondersteunen met het uitoefenen van de democratische controle over de inzet van data- en gegevensverwerking, om de verplichting van de AVG dat gemeenten verantwoording dienen af te leggen aan de gemeenteraad te vervullen?
Het uitgangspunt is dat de overheid zich bij al haar handelen houdt aan de algemene beginselen van behoorlijk bestuur, waaronder het legitimiteitsbeginsel en het zorgvuldigheidsbeginsel. Tot de inachtneming daarvan behoort ook naleving van de AVG. Waar mogelijk wil ik, samen met de VNG, gemeenten daarmee helpen door bijvoorbeeld de uitwisseling van best practices te stimuleren. De VNG is momenteel al bezig met de ontwikkeling van een raadsacademie om de digitale geletterdheid van raadsleden te verbeteren. Daarnaast is de VNG voornemens dit jaar nog onderzoek te doen naar de mogelijke rol van lokale rekenkamers in het versterken van het controlerend vermogen van gemeenteraden. Tot slot komt het onderwerp terug op verschillende bijeenkomsten, zoals De Raad op Zaterdag.9
Wat vindt u van de conclusie dat «gemeenten willen rennen voordat ze kunnen lopen», omdat zij toch aan de slag willen met nieuwe technologieën en algoritmen terwijl zij hun basisverplichtingen niet op orde hebben?
Wij zijn het ermee eens dat elke inzet van technologie op een verantwoorde wijze moet gebeuren, vooral wanneer daarbij data worden verwerkt die persoonsgegevens omvatten. Men kan hierbij gebruik maken van de verschillende instrumenten die hiervoor zijn benoemd. Ook digitaleoverheid.nl geeft hiervoor tips. Pas wanneer deze randvoorwaarden zijn vervuld, kunnen gemeenten aan de slag met de wens om met behulp van technologieën maatschappelijke opgaven het hoofd te bieden.
Deelt u de mening dat gemeenten eerst aan de basisvoorwaarden van de AVG moeten voldoen voordat zij kunnen experimenteren met data projecten en algoritmen?
Ook bij experimenten met nieuwe technologieën achten wij het van belang dat de geldende regelgeving wordt gehanteerd en, indien er persoonsgegevens worden verwerkt, conform de AVG gehandeld wordt.
Bits of Freedom, «Gemeenten houden zich onvoldoende aan de privacywet, blijkt uit ons onderzoek», 24 mei 2022, https://www.bitsoffreedom.nl/2022/05/24/gemeenten-houden-zich-onvoldoende-aan-de-privacywet-blijkt-uit-ons-onderzoek/
https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2022Z08531&did=2022D17335
Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 3642 en Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 2652
Autoriteit Persoonsgegevens, «Boete Belastingdienst voor discriminerende en onrechtmatige werkwijze», 7 december 2021, https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-belastingdienst-voor-discriminerende-en-onrechtmatige-werkwijze
https://www.rijksoverheid.nl/documenten/rapporten/2021/04/30/code-goed-digitaal-openbaar-bestuur
https://www.informatiebeveiligingsdienst.nl/kennisdeling-en-kennisvermeerdering/ en https://vng.nl/nieuws/aandacht-voor-rol-en-taken-functionaris-gegevensbescherming
Raad op zaterdag – digitalisering en informatiesamenleving https://www.youtube.com/watch?v=ikDvc0OgHDw
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20212022-3855.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.