sectorbeeldSectorbeeld overheid door AP:  ja zeggen en vaak neen doen

Op 9 oktober 2024 publiceerde de Autoriteit Persoonsgegevens(AP) haar Sectorbeeld Overheid. De AP heeft daarin de trends en ontwikkelingen op privacygebied in kaart gebracht die spelen bij de overheid. Men ziet dat de overheid wel stappen heeft gezet, maar nog altijd worstelt om te voldoen aan privacywetgeving. Op de website van de AP schrijft vicevoorzitter Monique Verdier dat er de laatste jaren nogal wat mis was met de gegevensverwerking door de overheid. Ze voegt eraan toe dat om het vertrouwen van burgers te herstellen de overheid moet laten zien dat ze de privacyrechten en de belangen van de burgers serieus neemt en er alles aan doet die goed te beschermen. Daarbij geeft ze wel aan dat ze een soort zelfreinigend vermogen bij de onderscheiden overheden inn voldoende mate aanwezig acht. Ze gaat echter nauwelijks in op de beperkte rol die de AP tot nu toe daarbij speelt.

Vicevoorzitter AP

Zij schrijft:

“Er is voor de overheid nog werk aan de winkel. Dat bleek de afgelopen jaren helaas ook wel uit de reeks ernstige misstanden met gegevensverwerking door de overheid. Die hebben de samenleving opgeschrikt en het vertrouwen van burgers in de overheid geschaad. Om het vertrouwen te herstellen, zal de overheid moeten laten zien dat zij de privacyrechten en de belangen van burgers serieus neemt en er alles aan doet die goed te beschermen.”

AP constateert

“De AP constateert in het sectorbeeld Overheid dat:

  • De kennis van de privacywet- en regelgevingbinnen overheidsorganisaties soms te wensen overlaat, in het bijzonder bij bestuurders.
  • De positie van de interne privacy toezichthouder, de functionaris gegevensbescherming (FG), in sommige gevallen onder druk staat.
  • Overheidsorganisaties soms bewust over de grenzen van de wet gaan. Bijvoorbeeld bij het signaleren van fraude (denk aan frauderisico-algoritmes). Maar ook het omgekeerde: dat bestuurders niet durven, omdat zij de privacywet- en regelgeving – onterecht – als belemmering zien.”

En:

“De overheid worstelt nog altijd om volledig te voldoen aan alle privacyregels. Er zijn wel stappen gezet om de Algemene verordening gegevensbescherming (AVG) beter na te leven, maar dit is nog niet genoeg. Bescherming van persoonsgegevens is een grondrecht. ….

Of dat ministeries bij het opstellen van nieuwe wetgeving niet standaard goed nadenken over de mogelijke privacyrisico’s die een nieuwe verwerking van persoonsgegevens met zich meebrengt.”

Beperkt eigen handelen

Het sectorbeeld geeft enkele voorbeelden van waar de AP actief ingreep. Ten aanzien van de belastingdienst in het kader van de toeslagenaffaire, bij het UWV en DUO en bij het datalek bij de GGD tijdens de corona-epidemie.

De AP had veel meer en veel duidelijker bij kwesties waarin door  de overheid veel te veel data opgevraagd/verzameld worden, in kunnen grijpen. Daarmee doel ik bijv. op de zaken rond de dataverzameling door de Nederlandse Zorgautoriteit voor een nieuw bekostigingsmodel voor de GGZ en bij de profilering van burgers door gemeenten die daarbij ondersteund werden door de Landelijke Stuurgroep Interventieteams(LSI). Nadat de wet SyRI, waarbinnen profilering van burgers mogelijk was gemaakt sneuvelde bij de rechter door toedoen van een coalitie van privacy-bewakende organisaties stuurde het ministerie van Sociale Zaken en Werkgelegenheid de gemeentelijk teams nog steeds aan. Na zeer veel kritiek zette SZW het LSI on hold, maar niet van harte.

LSI

Het is nogal stil rond de LSI-affaire als je richting de AP gaat kijken. “LSI” als zoekterm gebruiken op de website van de AP levert geen hit op. Misschien komt dat wel omdat zoals op de website van de Vereniging Nederlandse Gemeenten staat:

“ Het LSI-convenant is tot stand gekomen in overleg met de Autoriteit Persoonsgegevens. Zij houden toezicht op naleving van de privacyregels zoals de Algemene Verordening Gegevensbescherming (AVG).”

Zwalkend handelen  

Ronduit zwalkend kan je het handelen van de AP noemen rond het, nota bene zonder toestemming,  verzamelen van de antwoorden op HONOS-vragenlijsten van 800.000 GGZ-cliënten door de Nederlandse Zorgautoriteit. De AP liet zich bedotten door de NZa toen die in twee fasen( zeer ongebruikelijk) formeel advies vroeg over de Regeling die deze dataverzameling mogelijk moest maken. Men zag bij de AP een cruciale zin in de Regeling over het hoofd. De eerdere uitspraak van geen bezwaar moest men inslikken. Daarna ging men de AP kritisch vragen stellen, om het daarna voor één jaar toe te staan. Het valt daarbij niet uit te sluiten dat die laatste beslissing genomen onder politieke druk van het ministerie van VWS. In deze kwestie had de AP geloofwaardiger opgetreden als men luid getamboereerd had dat toezichthouders zo niet met elkaar omgaan. Maar ja, het bleef stil.

Undermanned, understaffed and underpaid

Vrij vaak laat de AP weten dat ze te weinig budget van het verantwoordelijk ministerie van Justitie en Veiligheid krijgt om haar werk naar behoren te kunnen doen. Aan het handelen van de AP is die onderbetaling ook af te lezen. Toch kon en kan de AP best wel anders optreden. Men kiest niet voor het laten zien van de tanden richting de hand die haar voedt. Men kiest voor het apaiseren, het toespreken van de overheid dat men het liefst anders wil en het hopen op zelfreinigend vermogen bij overheden. Dat is nogal lastig bij een overheid die een onbedwingbare neiging heeft centrale databases op te zetten met gegevens van burgers.

Subtiele tip

De AP doet ergens in de tekst van het Sectorbeeld Overheid een subtiele oproep aan belangenorganisaties om te datgene te doen wat ze zelf denkt niet te kunnen:

“De AP wijst er echter op dat er ook een rol ligt voor belangenorganisaties en bijvoorbeeld ministeries om voldoende handreikingen te bieden.”

W.J. Jongejan, 1 oktober 2024

Afbeelding van Alexa via Pixabay

11-10-2024: tekst blok “Beperkt eigen handelen” stond twee keer in de tekst. Is aangepast nu.