Beeld: Pixabay/ShonEjai
Het Sectorbeeld Overheid 2024, gepubliceerd door de Autoriteit Persoonsgegevens (AP), geeft een gedetailleerd beeld van de stand van zaken rondom de naleving van de Algemene verordening gegevensbescherming (AVG) binnen overheidsorganisaties. Hoewel er stappen zijn gezet om de bescherming van persoonsgegevens te verbeteren, signaleert de AP dat er nog grote uitdagingen bestaan, zowel bij landelijke als lokale overheden.
De AP constateert dat overheidsorganisaties nog steeds niet volledig voldoen aan de AVG, zes jaar na de invoering van deze wetgeving. Dit is problematisch omdat de overheid een grote hoeveelheid, vaak gevoelige, persoonsgegevens verwerkt. Het vertrouwen van burgers in de overheid is cruciaal, maar schandalen zoals de toeslagenaffaire en het GGD-datalek tijdens de coronapandemie hebben dit vertrouwen ernstig geschaad. Het koppelen van persoonsgegevens door verschillende overheidsorganisaties vergroot bovendien het risico op misbruik.
Gebrek aan kennis
Een van de belangrijkste oorzaken van de gebrekkige naleving is een tekort aan kennis binnen de overheidsorganisaties, met name onder bestuurders. Dit leidt vaak tot fouten bij het verwerken van persoonsgegevens of een verkeerd begrip van de regels. Veel overtredingen van de AVG zijn volgens de AP te herleiden tot deze kennisachterstand. Hoewel de AP voorlichting geeft, ligt de verantwoordelijkheid bij de organisaties zelf om te investeren in de juiste expertise.
Daarnaast speelt bij veel gemeenten een verkeerde afweging tussen het handhaven van de privacywetgeving en andere prioriteiten, zoals de bestrijding van criminaliteit. In het sociaal domein bijvoorbeeld, schenden gemeenten soms bewust de AVG in hun strijd tegen bijstandsfraude. Anderzijds worden privacyregels soms onterecht als belemmering gezien, wat kan leiden tot handelingsverlegenheid. Dit uit zich bijvoorbeeld in situaties waarin gemeenten, uit angst voor privacyschendingen, geen noodzakelijke hulp verlenen aan burgers.
Problemen met Functionarissen Gegevensbescherming (FG)
De rol van de Functionaris Gegevensbescherming (FG) binnen overheidsorganisaties is een ander zorgpunt. Hoewel de wet voorschrijft dat FG’s onafhankelijk moeten opereren en betrokken moeten worden bij privacygevoelige kwesties, zien veel organisaties dit niet altijd als prioriteit. Sommige FG’s worden te laat betrokken of hebben onvoldoende middelen om hun taken goed uit te voeren. Dit probleem speelt vooral bij kleinere gemeenten, waar de FG vaak meerdere petten op heeft en dus niet volledig onafhankelijk kan functioneren.
Data Protection Impact Assessments (DPIA’s)
De AP signaleert ook dat overheidsorganisaties regelmatig tekortschieten bij het uitvoeren van een Data Protection Impact Assessment (DPIA), een risicoanalyse die verplicht is bij bepaalde verwerkingen van persoonsgegevens. Vaak worden DPIA’s niet op tijd uitgevoerd of bevatten ze niet alle vereiste elementen, wat kan leiden tot onrechtmatige verwerkingen en extra risico’s voor de privacy van burgers.
Aanbevelingen en vooruitzichten
De AP benadrukt dat er nog veel werk te verzetten is om de privacy van burgers beter te beschermen. Overheidsorganisaties moeten investeren in kennis en capaciteit om de AVG goed na te leven. Het adequaat positioneren van FG’s en het serieus nemen van hun adviezen zijn daarbij van cruciaal belang. Daarnaast moeten organisaties transparanter zijn over hoe zij persoonsgegevens verwerken, onder andere door het publiceren van verwerkings- en algoritmeregisters. Tot slot roept de AP de overheid op om meer aandacht te besteden aan de snelheid waarmee IT-systemen worden aangepast, zodat datalekken sneller kunnen worden verholpen.
Het rapport onderstreept dat de overheid een voorbeeldfunctie heeft in het naleven van de privacywetgeving. Burgers moeten erop kunnen vertrouwen dat hun persoonsgegevens veilig zijn, vooral omdat zij geen keuze hebben met wie zij hun gegevens delen, zoals in het bedrijfsleven wel het geval is.
Lees hier verder over Sectorbeeld Overheid 2024.