Antwoord schriftelijke vragen : Antwoord op vragen van het lid Bouchallikh over het onderzoek 'De staat van privacy bij gemeenten' van Bits of Freedom

Antwoord van Staatssecretaris Van Huffelen (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Ministers van Binnenlandse Zaken en Koninkrijksrelaties en voor Rechtsbescherming
(ontvangen 2 september 2022).

Vraag 1

Bent u bekend met het onderzoek van Bits of Freedom, waarin zij concludeerden dat
negen van de tien grootste gemeenten zich onvoldoende aan de Algemene Verordening
Gegevensbescherming (AVG) houden, onder meer omdat gemeenten onvoldoende overzicht
hebben over de gegevens die ze verwerken en beveiligen, en hoe er met verzoeken van
burgers wordt omgegaan om hun gegevens in te zien?1

Antwoord 1

Ja, ik heb kennisgenomen van dit onderzoek.

Vraag 2

Hoe verklaart u dat deze gemeenten onvoldoende en onzorgvuldig omgaan met gegevens
van hun inwoners, terwijl de AVG al vier jaar van kracht is, en de gemeente Utrecht,
als enige, zich wel houdt aan deze verordening?

Antwoord 2

De praktijk van digitalisering blijkt weerbarstig. Gemeenten hebben te maken met veel
informatiesystemen die hen helpen om hun taken uit te voeren. Wanneer daarbij persoonsgegevens
worden verwerkt, moeten deze processen in overeenstemming met de AVG worden uitgevoerd.
Dit blijkt helaas niet altijd het geval te zijn. Het onderzoek van BoF noemt mogelijke
oorzaken, zoals capaciteitsproblemen waardoor er onvoldoende middelen worden vrijgemaakt
voor gegevensbescherming. Desalniettemin mag de samenleving van de overheid verwachten
dat zij de huishouding op orde heeft en dat de overheid zelf voldoet aan de standaarden
van het gegevensbeschermingsrecht. Ook bij deze gelegenheid wil het kabinet nogmaals
tot uitdrukking brengen dat wanneer de overheid het in haar gestelde vertrouwen beschaamt,
het kabinet zich dat aan trekt. Daarom zal ik in gesprek treden met de Vereniging
Nederlandse Gemeenten (VNG) en gemeenten om te kijken op welke wijze het kabinet kan
ondersteunen bij het op orde krijgen van hun informatiehuishouding, tegelijkertijd
verwacht ik van hen een concreet plan hoe de naleving van de AVG op orde gebracht
kan worden.

In zijn algemeenheid heeft de naleving van de AVG door overheden, waaronder gemeenten,
al langer de zorg van zowel het vorige als het huidige kabinet. Graag verwijs ik in
dit verband naar de Kamerbrief d.d. 29 april jl.2, waarin ik met de Minister voor Rechtsbescherming en de Minister van Binnenlandse
Zaken en Koninkrijksrelaties het belang heb onderstreept dat juist overheden de AVG
naleven. Om te onderzoeken waarom dit nog lang niet altijd goed gaat, is – zoals in
voornoemde brief gemeld – het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC)
momenteel doende met onderzoek hiernaar. De resultaten worden na de zomer verwacht.
We verwachten dat dit onderzoek mede inzicht geeft in de door BoF geconstateerde lacunes
in de naleving.

Vraag 3

Wat voor beeld vindt u dat het geeft aan andere organisaties dat een voorbeeldorganisatie
als de gemeente zich niet houdt aan de AVG?

Antwoord 3

Wij staan achter de zienswijze van het vorige kabinet3 dat de overheid zelf voorop moet lopen bij de eerbiediging van de persoonlijke levenssfeer
en de bescherming van persoonsgegevens. De overheid heeft immers een voorbeeldfunctie
bij de naleving van wettelijke en verdragsrechtelijke normen. Burgers moeten erop
kunnen vertrouwen dat hun gegevens goed zijn beschermd wanneer deze worden verwerkt
door de overheid. Duidelijk mag dan ook zijn dat wij vinden dat alle gemeenten, net
als een ieder die persoonsgegevens verwerkt, zich moeten houden aan de AVG.

Vraag 4

Erkent u dat dit niet een alleenstaand incident is, maar dat het niet naleven van
de AVG een probleem is in meerdere overheidsorganisaties, zoals de Belastingdienst?4 Zo nee, waarom niet?

Antwoord 4

Zie het antwoord op vraag 2.

Vraag 5

Wat doet u nu concreet na dit soort incidenten en hoe voorkomt u dat wij hoppen van
digitaal schandaal naar digitaal schandaal?

Antwoord 5

De samenleving mag van de overheid verwachten dat zij de huishouding op orde heeft
en dat de overheid voldoet aan de standaarden van het gegevensbeschermingsrecht. Naast
het onder antwoord 2. genoemde WODC-onderzoek, waaruit vervolgacties zullen voortkomen,
spant het kabinet zich op verschillende manieren ervoor in om de informatiehuishouding
van de rijksoverheid op orde te brengen.

Zo wordt gewerkt aan versteviging van privacy binnen overheidsorganisaties.5 Tevens wordt door de Minister voor Rechtsbescherming gekeken naar de huidige rol
van de Functionaris Gegevensbescherming (FG) als toezichthouder binnen een organisatie.
Onderzocht wordt of deze functie verder kan worden versterkt.

Op het gebied van transparantie bij algoritmische systemen, is het kabinet bezig algoritmeregisters
op te zetten, wat uiteindelijk voor overheidsorganisaties wettelijk verplicht zal
zijn.6 Doordat de overheid open en transparant moet functioneren, maakt dit de toepassing
van algoritmes door de overheid inzichtelijk en toetsbaar. Tevens ontwikkelt het kabinet
een implementatiekader (inclusief verplichtingen) voor toepassing van algoritmes door
de overheid met daarin (deels verplichte) waarborgen die in acht moeten worden genomen
bij de inzet van algoritmen, zoals de mensenrechtentoets en extra maatregelen om discriminatie
te voorkomen.

Verder ontwikkelt de VNG een «raadacademie» die beoogt de digitale geletterdheid van
raadsleden te verbeteren zodat zij beter in staat zijn om een controlerende functie
uit te oefenen. Tot slot worden er plannen gemaakt voor een «aanjaagteam digitale
grondrechten en ethiek» en denkt de VNG mee bij de doorontwikkeling en implementatie
van Code Goed Digitaal Openbaar Bestuur (CODIO).7

Vraag 6

Hoe gaat u deze gemeenten op de korte termijn helpen om wel te voldoen aan de regels
van de AVG, die inmiddels al vier jaar verplicht zijn?

Antwoord 6

Zie voorgaande vraag. Ik ga de instrumenten genoemd in het vorige antwoord beter onder
de aandacht brengen van gemeenten, samen met de VNG. Gemeenten blijven natuurlijk
altijd zelf verantwoordelijk voor hun informatiehuishouding en het naleven van de
AVG.

Vraag 7

Deelt u de constatering dat er onvoldoende budget is voor elke Functionaris Gegevensbescherming
(FG) van elke gemeente om intern onderzoek te doen en dat deze problematiek samenhangt
met het tekort aan budget voor de Autoriteit Persoonsgegevens om al hun taken een
waardevolle invulling te geven? Ziet u ook in dat ondanks de recente verhoging van
het budget van de Autoriteit Persoonsgegevens, dit onvoldoende is voor alle wettelijke
verantwoordelijkheden die zij nu hebben en gaan krijgen, als «Algoritme Waakhond»?

Antwoord 7

Eind 2020 deed KPMG-onderzoek naar de capaciteit die de Autoriteit Persoonsgegevens
(AP) nodig heeft. Dat leverde een bandbreedte op van 19 tot 45 miljoen euro. Ten tijde
van het KPMG-onderzoek bedroeg het budget van de Autoriteit Persoonsgegevens € 19
miljoen euro. Met het coalitieakkoord is dit uitgebreid tot (afgerond) € 28,7 miljoen
in 2022. In de komende jaren stijgt dit door tot € 35 miljoen in 2027. Dit is nog
zonder de algoritmetoezichthouder, waarvan de invulling momenteel wordt uitgewerkt.
Het budget beweegt zich dus binnen de bandbreedtes die KPMG had bepaald. Het kabinet
is niet van mening dat er te weinig geld is voor de AP en ziet om die reden niet de
door de vraagsteller gesuggereerde samenhang.

Vraag 8

Hoe beoordeelt u het feit dat uit dit onderzoekt blijkt dat er veel verschil bestaat
tussen gemeenten rondom de frequentie van verslagen van de interne toezichthouders
(FG’s) en dat dit soms per kwartaal gebeurt, soms jaarlijks en soms nooit? Deelt u
de mening dat er meer sturing nodig is op verslaggeving door de FG’s binnen gemeenten,
bijvoorbeeld in de vorm van richtlijnen die opgezet worden door de VNG?

Antwoord 8

De FG is van groot belang. Zoals ik in antwoord op vraag 5 reeds aangaf, dient de
FG als toezichthouder binnen de organisatie. Deze kan ook aan de bel trekken als er
iets niet in de haak is en moet de organisatie doorlopend monitoren. De FG moet daarom
serieus worden gesteund door de organisatie en voldoende toegang en middelen krijgen.
Daarom organiseert de Informatiebeveiligingsdienst (IBD) via verschillende FG-collectieven
kennisdeling en kennisvermeerdering.8 Ook biedt de AP op diverse manieren ondersteuning aan FG’s, zoals door een speciale
FG-contactkanalen.

Vraag 9

Hoe gaat u gemeenteraden ondersteunen met het uitoefenen van de democratische controle
over de inzet van data- en gegevensverwerking, om de verplichting van de AVG dat gemeenten
verantwoording dienen af te leggen aan de gemeenteraad te vervullen?

Antwoord 9

Het uitgangspunt is dat de overheid zich bij al haar handelen houdt aan de algemene
beginselen van behoorlijk bestuur, waaronder het legitimiteitsbeginsel en het zorgvuldigheidsbeginsel.
Tot de inachtneming daarvan behoort ook naleving van de AVG. Waar mogelijk wil ik,
samen met de VNG, gemeenten daarmee helpen door bijvoorbeeld de uitwisseling van best
practices te stimuleren. De VNG is momenteel al bezig met de ontwikkeling van een
raadsacademie om de digitale geletterdheid van raadsleden te verbeteren. Daarnaast
is de VNG voornemens dit jaar nog onderzoek te doen naar de mogelijke rol van lokale
rekenkamers in het versterken van het controlerend vermogen van gemeenteraden. Tot
slot komt het onderwerp terug op verschillende bijeenkomsten, zoals De Raad op Zaterdag.9

Vraag 10

Wat vindt u van de conclusie dat «gemeenten willen rennen voordat ze kunnen lopen»,
omdat zij toch aan de slag willen met nieuwe technologieën en algoritmen terwijl zij
hun basisverplichtingen niet op orde hebben?

Antwoord 10

Wij zijn het ermee eens dat elke inzet van technologie op een verantwoorde wijze moet
gebeuren, vooral wanneer daarbij data worden verwerkt die persoonsgegevens omvatten.
Men kan hierbij gebruik maken van de verschillende instrumenten die hiervoor zijn
benoemd. Ook digitaleoverheid.nl geeft hiervoor tips. Pas wanneer deze randvoorwaarden
zijn vervuld, kunnen gemeenten aan de slag met de wens om met behulp van technologieën
maatschappelijke opgaven het hoofd te bieden.

Vraag 11

Deelt u de mening dat gemeenten eerst aan de basisvoorwaarden van de AVG moeten voldoen
voordat zij kunnen experimenteren met data projecten en algoritmen?

Antwoord 11

Ook bij experimenten met nieuwe technologieën achten wij het van belang dat de geldende
regelgeving wordt gehanteerd en, indien er persoonsgegevens worden verwerkt, conform
de AVG gehandeld wordt.