Overheidsorganisaties overtreden soms bewust de AVG, zo laat de Autoriteit Persoonsgegevens (AP) in het vandaag verschenen Sectorbeeld Overheid weten. Het zijn vooral gemeenten die de grens opzoeken en daar ook vaker overheen lijken te gaan. Volgens de privacytoezichthouder worstelt de overheid nog altijd om volledig te voldoen aan alle privacyregels.

Met het sectorbeeld analyseert de AP de belangrijkste trends en ontwikkelingen op privacygebied binnen de overheidssector. Uit het rapport blijkt dat het op verschillende punten niet goed gaat. Zo laat kennis van de privacywet- en regelgeving binnen overheidsorganisaties soms te wensen over, in het bijzonder bij bestuurders. In sommige gevallen staat de positie van de interne privacytoezichthouder, de functionaris gegevensbescherming (FG), onder druk en gaan overheidsorganisaties soms bewust over de grenzen van de wet heen.

"Overheidsorganisaties verzamelen meer persoonsgegevens dan ooit en willen die gegevens ook meer dan ooit aan elkaar koppelen. Het risico dat burgers in de knel komen is groot als de overheid verkeerd omgaat met hun persoonsgegevens", waarschuwt de AP. Die wijst naar de toeslagenaffaire en het datalek bij de GGD tijdens de coronapandemie als voorbeelden van de risico's waar burgers mee te maken kunnen krijgen.

"Als burger ben je verplicht gegevens met de overheid te delen. Vaak ook heel gevoelige gegevens. Natuurlijk ga je er dan vanuit dat de overheid zorgvuldig met jouw gegevens omspringt, dat die niet in verkeerde handen kunnen komen. En dat de overheid je op basis van je persoonsgegevens niet oneerlijk behandelt of discrimineert", zegt AP-vicevoorzitter Monique Verdier.

Bewust negeren van AVG

De AP signaleert dat sommige gemeenten welbewust de regels van de AVG negeren bij de bestrijding van criminaliteit en het handhaven van de openbare orde. "Dit heeft mogelijk (grove) schendingen van de privacy van hun inwoners tot gevolg", stelt de toezichthouder. Die zegt hard te zullen ingrijpen bij gemeenten die bij de bestrijding van criminaliteit in het fysieke domein de privacybelangen van burgers in het digitale domein onrechtmatig schenden.

"Gemeenten hebben niet alleen als taak de openbare orde in de fysieke ruimte te handhaven, maar dienen ook de belangen van burgers in de digitale ruimte te respecteren", staat in het sectorbeeld. De AP maakt zich verder zorgen over de privacycultuur binnen gemeenten, zeker in het veiligheidsdomein, waarbij de AVG regelmatig als hinderpaal wordt gezien. Ook zijn gemeenten vaak niet bereid om te investeren in privacywaarborgen, zoals het uitvoeren van DPIA’s en het tijdig betrekken van de FG.

Een specifieke ontwikkeling op dit vlak ziet de AP in het toenemende gebruik van (mobiel) cameratoezicht. "Het (tijdelijk) filmen van openbare gebieden kan een enorme impact hebben op de privacy van burgers. Het is dan ook zaak dat cameratoezicht altijd aan de vereisten van ‘subsidiariteit’ en ‘proportionaliteit’ voldoet", laat de toezichthouder weten. Die voegt toe dat gemeenten er goed aan doen steeds de vraag te stellen of camera-inzet daadwerkelijk noodzakelijk is of dat zij een probleem ook zonder de inzet van camera’s kunnen aanpakken.

De AP meldt dat gemeenten de grens van de AVG opzoeken en daar ook vaker overheen lijken te gaan. "Vaak komt dit door een gebrek aan relevante kennis over de AVG binnen een organisatie of bij het bestuur. Soms schuiven gemeenten de AVG echter moedwillig aan de kant, omdat zij die als belemmering zien voor de uit te voeren taak."

"Er is voor de overheid nog werk aan de winkel. Dat bleek de afgelopen jaren helaas ook wel uit de reeks ernstige misstanden met gegevensverwerking door de overheid. Die hebben de samenleving opgeschrikt en het vertrouwen van burgers in de overheid geschaad", aldus Verdier. "Om het vertrouwen te herstellen zal de overheid moeten laten zien dat zij de privacyrechten en de belangen van burgers serieus neemt en er alles aan doet die goed te beschermen."