Privacytoezichthouder start onderzoek naar smart cities

De Autoriteit Persoonsgegevens (AP) start een verkennend onderzoek naar de ontwikkeling van smart cities. Onderzocht wordt de manier waarop gemeenten in de ontwikkelingsfase van smart cities omgaan met de privacy van bewoners en bezoekers. Als onderdeel van dit onderzoek vraagt de toezichthouder onderzoeken die gemeenten hebben uitgevoerd naar de impact van dataverzameling op.

Gemeenten zijn in toenemende mate op zoek naar datagedreven oplossingen. Data worden op nieuwe manieren verzameld en gecombineerd, waarbij het volgens de toezichthouder vaak gaat om verwerking van persoonsgegevens. Gemeenten maken hierbij gebruik van technologie, zoals machine learning. Door analyses uit te voeren willen zij onder meer bewoners bewegen betere keuzes te maken, de openbare ruimte optimaliseren en de openbare ruimte inrichten op basis van inzichten uit verzamelde data.

'Zorgvuldige afweging van belang'

Het gebruik van data in de openbare ruimte raakt volgens de AP iedereen die zich in die openbare ruimte begeeft. Indien bijvoorbeeld sprake is van een datalek kan dit een groot aantal burgers treffen. De toezichthouder noemt het dan ook van belang een zorgvuldige afweging te maken over het verzamelen en gebruiken van persoonsgegevens.

Aleid Wolfsen, voorzitter van de AP: "Het is een groot goed om je in het openbaar vrij te kunnen bewegen en je onbespied te wanen. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering is toegestaan. Het moet steeds zijn gebaseerd op wetgeving die voldoende duidelijk en nauwkeurig is en waarvan de toepassing steeds voldoende voorspelbaar is. De AP juicht innovatief gebruik van data voor meerwaarde in de openbare ruimte toe, mits de privacy van burgers voldoende is gewaarborgd. De Smart City-toepassingen moeten namelijk voldoen aan de eisen van de AVG. Het waarborgen van privacy in de ontwikkeling van Smart City-toepassingen zorgt voor duurzame oplossingen met maatschappelijke meerwaarde die binnen de grenzen van de privacywet vallen."

DPIA

Voordat gemeenten Smart City-toepassingen ontwikkelen, moeten zij van de AP in kaart brengen welke privacyrisico’s dit met zich meebrengt. Deze risico's moeten beheersbaar worden gemaakt voordat de verwerking van persoonsgegevens van start met gaan. Dit kan met een 'data protection impact assessment' (DPIA). "Als de gemeente geen maatregelen kan treffen om de privacyrisico’s af te dekken en er hoge restrisico’s blijven bestaan, moet zij de verwerking in een zogeheten voorafgaande raadpleging aan de AP voorleggen. De AP benadrukt deze verplichting bij Smart City-toepassingen", schrijft de AP.

De AP vraagt in eerste instantie DPIA's op van een specifieke groep gemeenten. Om welke gemeenten het gaat is niet bekend. In een later stadium worden bij een bredere groep gemeenten DPIA's van smart city-toepassingen opgevraagd.