AP signaleert nog altijd privacyrisico’s bij de overheid
De Autoriteit Persoonsgegevens (AP) heeft de trends en ontwikkelingen op privacygebied in kaart gebracht die spelen bij de overheid. De AP ziet dat de overheid wel stappen heeft gezet, maar nog altijd worstelt om te voldoen aan privacywetgeving. Verder zijn overheden vaak te afhankelijk van 1 cloud leverancier.
De AP constateert in het sectorbeeld Overheid dat:
- De kennis van de privacywet- en regelgeving binnen overheidsorganisaties soms te wensen overlaat, in het bijzonder bij bestuurders.
- De positie van de interne privacytoezichthouder, de functionaris gegevensbescherming (FG), in sommige gevallen onder druk staat.
- Overheidsorganisaties soms bewust over de grenzen van de wet gaan. Bijvoorbeeld bij het signaleren van fraude (denk aan frauderisico-algoritmes). Maar ook het omgekeerde: dat bestuurders niet durven, omdat zij de privacywet- en regelgeving – onterecht – als belemmering zien.
Meer gegevens, grotere impact op burgers
Overheidsorganisaties verzamelen meer persoonsgegevens dan ooit en willen die gegevens ook meer dan ooit aan elkaar koppelen. Het risico dat burgers in de knel komen is groot als de overheid verkeerd omgaat met hun persoonsgegevens. Grote voorbeelden hiervan zijn de toeslagenaffaire en het datalek bij de GGD tijdens de coronapandemie, maar denk ook aan het gebruik van ondoordachte algoritmes door UWV en DUO.
Monique Verdier, vicevoorzitter AP: “Als burger ben je verplicht gegevens met de overheid te delen. Vaak ook heel gevoelige gegevens. Natuurlijk ga je er dan vanuit dat de overheid zorgvuldig met jouw gegevens omspringt, dat die niet in verkeerde handen kunnen komen. En dat de overheid je op basis van je persoonsgegevens niet oneerlijk behandelt of discrimineert.”
Privacybelangen niet uit het oog verliezen
Ook bij gemeenten ziet de AP steeds meer behoefte om gegevens te delen en aan elkaar te koppelen. Dit gebeurt vaak om iemand met een zorgvraag te helpen, schuldenproblematiek tegen te gaan of criminaliteit een halt toe te roepen. Dat zijn goede intenties, maar daarbij past ook dat je burgers en hun gegevens goed beschermt.
Monique Verdier: “Er is voor de overheid nog werk aan de winkel. Dat bleek de afgelopen jaren helaas ook wel uit de reeks ernstige misstanden met gegevensverwerking door de overheid. Die hebben de samenleving opgeschrikt en het vertrouwen van burgers in de overheid geschaad. Om het vertrouwen te herstellen, zal de overheid moeten laten zien dat zij de privacyrechten en de belangen van burgers serieus neemt en er alles aan doet die goed te beschermen.”
Trage aanpassingen van IT-systemen
Wanneer de AP verbeterpunten ontdekt in IT-systemen bij overheidsorganisaties, duurt het vaak lang om die systemen aan te passen. Mogelijk komt dit door gebruik van oude IT-systemen, gebrek aan kennis, onvoldoende prioritering of een combinatie van deze zaken. De AP heeft geen onderzoek gedaan naar de onderliggende redenen en kan hierover dus ook geen uitspraken doen, maar de traagheid bij het doorvoeren van verbeteringen valt de AP wel op. Door deze traagheid kunnen datalekken onnodig lang blijven voortduren. Of kan het te lang duren voordat nieuwe, noodzakelijke verwerkingen veilig kunnen worden opgestart.
Afhankelijkheid van één IT-dienstverlener
Veel overheidsorganisaties zijn voor het draaiend houden van hun (cloud)systemen volledig afhankelijk van een enkel bedrijf zo meldt AP: "Als die ene dienstverlener, waar alle gegevens bijvoorbeeld bij in de cloud staan, omvalt, dan komt de dienstverlening aan burgers direct in de problemen. Een duidelijke, overheidsbrede strategie om dit risico tegen te gaan lijkt tot nu toe te ontbreken."