Antwoord schriftelijke vragen : Antwoord op vragen van het lid Leijten over signalen dat gemeenten slecht voldoen aan de verplichtingen uit de privacywet

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en voor Rechtsbescherming
(ontvangen 2 september 2022).

Vraag 1

Herkent u de signalen dat gemeenten hun informatiehuishouding slecht op orde hebben?
Kunt u dit toelichten?1

Antwoord 1

Ik heb kennisgenomen van het rapport van Bits of Freedom (BoF) en daaruit blijkt dat
de informatiehuishouding bij 10 grote gemeenten niet goed op orde is. Er zijn de afgelopen
tijd diverse voorbeelden geweest van overheidsorganisaties waar de naleving van de
AVG beter moet. Het achterblijven van de naleving van de AVG vind ik een kwalijke
zaak. Burgers moeten erop kunnen vertrouwen dat hun gegevens op rechtmatige wijze
worden verwerkt, zeker bij de overheid. Om die reden is het Wetenschappelijk Onderzoek-
en Documentatiecentrum (WODC) op ons verzoek momenteel bezig met een onderzoek naar
de naleving van de Algemene verordening gegevensbescherming (AVG) door overheden.

Naar aanleiding van het rapport van BoF ga ik in gesprek met de Vereniging Nederlandse
Gemeenten (VNG) en gemeenten om te kijken op welke wijze het kabinet kan ondersteunen
bij het op orde krijgen van hun informatiehuishouding. Gemeenten zullen daarmee dan
zelf aan de slag moeten; de verantwoordelijkheid voor de naleving van de AVG ligt
uiteindelijk bij de gemeente zelf als verwerkingsverantwoordelijke. Verder verwijs
ik naar het antwoord op vraag 3 van het lid Bouchallikh (GroenLinks) aan de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties over het onderzoek «De staat van privacy
bij gemeenten» van Bits of Freedom (ingezonden 9 juni 2022).

Vraag 2

Bent u het met de onderzoeker eens dat, voordat gemeenten aan de slag gaan met nieuwe
technologieën en data-gedreven werken, eerst de basis op orde moet zijn? Zo nee, waarom
niet?

Antwoord 2

Ja, ook bij experimenten met nieuwe technologieën achten wij het van belang dat de
geldende regelgeving wordt gehanteerd en, indien er persoonsgegevens worden verwerkt,
conform de AVG gehandeld wordt.

Vraag 3

Hoe verklaart u dat gemeenten te weinig middelen vrijmaken voor gegevensbescherming?
Ziet u een verband met de bezuinigingen vanuit het Rijk op gemeenten de afgelopen
jaren en het nijpende personeelstekort bij vele gemeenten?2
3
4
5
6
7
8

Antwoord 3

Het rapport beschrijft dat in de onderzochte gemeenten er onvoldoende middelen worden
ingezet, waardoor privacy-teams onderbezet blijken met als gevolg dat er onvoldoende
geadviseerd kan worden over gegevensbescherming en -beveiliging. Het kabinet signaleert
dat personeelstekorten bij gemeenten ertoe leiden dat bepaalde gemeentelijke taken
minder goed kunnen worden uitgevoerd. Veel gemeenten kampen met een groot aantal vacatures.
Met betrekking tot het bevorderen van gegevensbescherming bij gemeenten heeft het
kabinet naar aanleiding van de Parlementaire ondervragingscommissie Kinderopvangtoeslag
(POK) extra geïnvesteerd in informatiehuishouding en dienstverlening bij uitvoeringsorganisaties
en gemeenten. Er wordt 150 miljoen structureel geïnvesteerd in gemeenten, die bestemd
is als impuls voor onder andere digitale dienstverlening en informatiepunten, robuuste
rechtsbescherming, systeemleren, versterking van de uitvoeringscapaciteit en integraal
werken. Echter, niet alles is een kwestie van budget. Bewustwording en normbesef zijn
begrippen die voor de hele maatschappij gelden: voor iedere burger, ieder bedrijf
en iedere organisatie die persoonsgegevens verwerkt. De overheid vormt daarop geen
uitzondering. En hoe meer AVG-bewustzijn er is op besluitvormend niveau, hoe meer
we voorkomen dat er een werkwijze ontstaat die indruist tegen de AVG.

Vraag 4

Ziet u het gevaar van gemeenten die wel gebruik maken van algoritmes en data om fraude
op te sporen, maar tegelijkertijd de gegevensbescherming niet op orde hebben?

Antwoord 4

Dit risico zie ik ook. Ik verwijs naar het antwoord op vraag 2.

Vraag 5

In hoeverre houdt u toezicht op de mate van kwaliteit van gegevensbescherming bij
gemeenten? Kunt u dit toelichten?

Antwoord 5

Het kabinet houdt geen toezicht op de naleving van de AVG bij gemeenten. Dat is primair
de taak van de Functionaris Gegevensbescherming (FG), de interne toezichthouder van
de gemeente. Deze rol vindt het kabinet belangrijk en heeft voor de naleving van de
AVG een sleutelpositie. De rol van de FG als verlengstuk van de toezichthouder binnen
een organisatie is dan ook van groot belang. Daarom onderzoekt de Minister voor Rechtsbescherming
of er een nationaal register voor FG’s kan worden opgericht, waarmee we deze functie
verder professionaliseren. Daarmee kunnen we een belangrijke stap zetten in het toezicht,
ook op overheidsorganisaties. Het toezicht op de toepassing van de AVG in brede zin
is belegd bij de Autoriteit Persoonsgegevens (AP).

Vraag 6

Kunt u toelichten wat de mogelijkheden zijn tot handhaving zodat gemeenten de gegevensbescherming
van mensen op orde krijgen?

Antwoord 6

Handhaving en toezicht van de AVG zijn taken van de AP. De taken en bevoegdheden van
de AP staan in de Algemene verordening gegevensbescherming (AVG) en zijn verder uitgewerkt
in de Uitvoeringswet AVG (UAVG). Alhoewel toezicht vaak wordt benoemd als belangrijkste
taak, is voorlichting dat ook. Voorlichting heeft een preventieve werking op de toezichthoudende
taak van de AP. Op de website van de AP is voldoende informatie te vinden voor eenieder
die persoonsgegevens verwerkt.

Vraag 7

Bent u bereid om gemeenten te verbieden gebruik te maken van voorspellende algoritmes
zo lang deze niet getoetst zijn en de rechtsbescherming van mensen niet gewaarborgd
kan worden? Zo nee, waarom niet?

Antwoord 7

Om de rechten van burgers te beschermen, moeten overheden zich aan wet- en regelgeving
houden en daarbij wordt nieuwe wet- en regelgeving voorbereid die ook op algoritmische
voorspellende besluitvormingssystemen van toepassing is.

Er is al een kader dat voorspellende algoritmen reguleert: de Grondwet en de fundamentele
mensenrechten vereisen dat waar een inbreuk op een recht is toegelaten, deze inbreuk
wettelijk moet worden geregeld en noodzakelijk en proportioneel moet zijn. Domein-specifieke
wetgeving reguleert de bevoegdheid waaruit besluitvorming volgt. Het bestuursprocesrecht
stelt regels aan besluitvorming, zoals de motivering ervan en hoor en wederhoor. Het
non-discriminatierecht verbiedt het maken van een (ongerechtvaardigd) onderscheid
tussen mensen. De privacy- en gegevensbeschermingswetgeving – waaronder de AVG – stelt
regels aan het gebruik van persoonsgegevens. De AVG verplicht onder meer tot het uitvoeren
van een gegevensbeschermingseffectbeoordeling (DPIA) als een gegevensverwerking een
hoog privacy-risico oplevert voor de mensen waarvan de gegevens worden verwerkt. Dat
geldt ook als daarvoor een (voorspellend) algoritme waarin persoonsgegevens worden
verwerkt wordt ingezet.

Specifiek voor AI-systemen met een hoog risico voor mensenrechten, de gezondheid en
veiligheid is er in EU-wetgeving (AI-verordening) in voorbereiding die met name de
ontwikkelingsfase van deze systemen verder reguleert.

De AI-verordening, is in belangrijke mate van toepassing op voorspellende algoritmen
of algoritmische besluitvormingssystemen bij de overheid. Voor AI-systemen met een
hoog risico is voorzien in een set eisen aan de ontwikkeling en ingebruikname van
deze systemen waaraan aantoonbaar moet zijn voldaan. Zo moet een risico analyse worden
gedaan en worden onder andere eisen gesteld aan de datakwaliteit; de accuraatheid
van het systeem; moet het systeem voldoende transparant zijn voor degene die het toepast
en moet er adequaat menselijk toezicht op mogelijk zijn. Dit wordt verder uitgewerkt
in de werkagenda Digitalisering.

Vraag 8

Is er onderzoek gedaan naar de vraag in welke mate lokale volksvertegenwoordigers
in staat zijn om hun controlerende taak op dit gebied uit te voeren? Zo nee, bent
u daartoe bereid?

Antwoord 8

In het Adviesrapport «Sturen of gestuurd worden» wijst de Raad voor het Openbaar Bestuur (ROB) volksvertegenwoordigers en bestuurders,
maar ook de ambtenaren die hen ondersteunen, op de dringende noodzaak om de legitimiteit
van sturen met data te waarborgen.9 In het rapport stelt de ROB onder andere dat het noodzakelijk is dat (interbestuurlijke)
samenwerking bij digitaliseringsprocessen gebeurt op een manier dat deze rekening
houden met publieke waarden, waaronder transparantie en verantwoording. Ik ga graag
met de VNG en de Vereniging van Raadsleden in gesprek hoe we de adviezen uit het rapport
verder kunnen uitwerken.