Webinar 17 juni: Wat mag wel en niet van de AP in de smart city?

Binnenkort verschijnt het onderzoek van de Autoriteit Persoonsgegevens (AP) over wat er wel en niet mag op smartcitygebied. Het onderzoek richt zich op verwerkingen van persoonsgegevens in de openbare ruimte met sensoren en andere technologieën. Veel gemeenten en andere overheden vragen zich af wat de mogelijkheden en grenzen zijn volgens de AP. Daarom zijn we erg blij dat Munish Ramlal, hoofd van de afdeling Systeemtoezicht bij de AP samen met Gerald Hopster en Anna Maj Drenth, senior inspecteurs van de AP, daarover met ons in gesprek wilde op 17 juni van 15.00 – 16.00 uur.

Voorafgaande aan het webinar legden we de vragen van de deelnemers voor aan de AP en daar kwamen een mooie presentatie én gesprek uit voort. Hieronder leest u het verslag en kunt u het webinar terugkijken.

Wat mag er wel en niet volgens de AP in de smart city?

‘Deze presentatie begin ik direct met een teleurstelling, want ik zal u niet concreet vertellen wat er volgens de Autoriteit Persoonsgegevens wel en niet mag. Dat is namelijk lastig, omdat je dat vaak niet direct van tevoren kunt zeggen.’ Munish Ramlal is hoofd van de afdeling Systeemtoezicht bij de AP en deelt samen met senior inspecteurs Gerald Hopster en Anna Maj Drenth zijn ervaring en kennis over smart city toepassingen. De afdeling Systeemtoezicht houdt toezicht op de opzet, reikwijdte en werking van het interne privacytoezicht bij organisaties. Dit met als doel om de naleving van de privacywetgeving te bevorderen.

‘Smart city is een belangrijk thema in het toezicht van de AP. Het gaat vooral om het plaatsen van sensoren in de openbare ruimte en de vraag hoe de privacy van de burgers gewaarborgd wordt. Mensen kunnen overal worden gevolgd zonder dat ze het weten. Dat is een inbreuk op je grondrechten.’

De AP krijgt vaak de vraag of iets wel of niet mag. ‘Je moet als organisatie, of je een gemeente bent of een bedrijf, zelf verantwoordelijkheid nemen en aantonen hoe en welke persoonsgegevens je verwerkt.’ De rol van de AP is daarin die van een toezichthouder die op afstand kijkt of de gegevensverwerking goed gebeurt. ‘Als organisatie moet je zelf rekening houden met privacywetgeving en dus van tevoren nadenken of jouw technologie gegevens verzamelt die te herleiden zijn tot individuele burgers. Daarbij is het ook belangrijk om de Functionaris Gegevensbescherming (FG) tijdig te betrekken zodat deze advies kan geven.’

Tools en richtlijnen

Er zijn instrumenten waarmee organisaties zelf kunnen aantonen dat ze de AVG naleven, zoals gedragscodes. Daarin geeft Munish Ramlal toe dat het opstellen van een gedragscode niet eenvoudig is, omdat de AVG hoge eisen aan een gedragscode stelt. Daarnaast is het uitvoeren van een DPIA (Data Protection Impact Assesment), een risico analyse, belangrijk. Dit is bij smart city-toepassingen vaak verplicht. Daarin leg je bijvoorbeeld welke gegevens je verwerkt, wie verantwoordelijk is en welke privacyrisico’s en, nog belangrijker, welke maatregelen je treft om deze risico’s te beperken.

Gerald Hopster heeft in het afgelopen jaar veel DPIA’s van gemeentes bekeken voor smart city toepassingen. Zijn belangrijkste les? Het belangrijkste is dat je stilstaat bij de risico’s van je toepassingen. ‘Een slechte of minder goed uitgevoerde DPIA is beter dan geen DPIA. De wijze waarop deze wordt vormgegeven is van ondergeschikt belang aan het proces en de inhoud. Wees niet bang, wees creatief!’

In de nabije toekomst wordt het ook mogelijk om onderdelen van een verwerking te certificeren. De AP gaat instanties accrediteren die deze certificaten mogen uitreiken en toezicht houden op de naleving daarvan. ‘Maar’, benadrukt Ramlal, ‘besef je ook dat sommige dingen gewoon niet kunnen.’

Sneak preview

De AP publiceert binnenkort een rapport over smart city toepassingen van gemeenten en hebben daarvoor veel gesprekken gevoerd met experts en gemeentes. Het is een rapport op hoofdlijnen en ze deelden graag al een paar belangrijke lessen:

Documenteer je afwegingen in een DPIA of een ander document, laat zien dat je erover hebt na gedacht en afwegingen hebt gemaakt
Zet het doel centraal en niet de technologie. Vraag je af of het nodig is dat je deze data verzamelt en verwerkt als gegevens verzamelt.
Bedenk niet eerst een oplossing, maar begin vanuit een probleem. We zien te vaak dat er begonnen wordt met een smart city oplossing én dan wordt er een probleem bij gezocht
Wees als gemeente niet bang om dingen fout te doen, maar documenteer je werkprocessen om zo je overwegingen te kunnen laten zien én betrek daar een functionaris gegevensbescherming bij.
Wees je bewust dat anoniem nu anoniem kan zijn, maar dat misschien over 20 jaar niet meer is. Als je anonimiteit belooft, garandeer die dan ook voor de toekomst.
Maak de afwegingen niet achteraf, maar voordat je een tool of technologie gaat toepassen en wees daarin transparant.
Neem de burger mee in dat proces, een slimme stad is slim door haar burgers.
Volgens alle drie is transparantie en het open gesprek over dilemma’s het belangrijkste. Daarin erkennen zij dat het soms kan wringen en dat sommige keuzes niet eenduidig zijn. Maar ze zien juist het conflict en gesprek als waardevol.

Dat bleek ook uit alle vragen die werden gesteld tijdens de presentatie. Er zijn ook nog veel vragen onbeantwoord en het is duidelijk dat het gesprek over privacy en de smart city nog niet klaar is. We komen nog met een vervolg. Hou onze website en sociale media kanalen dus de komende tijd in de gaten.

Kijk het webinar terug