De recente boete van 30.000 euro die de gemeente Voorschoten ontving van de Autoriteit Persoonsgegevens (AP) voor het te lang bewaren van afvalgegevens van inwoners, bevestigt het beeld dat de toezichthouder ook steeds vaker gemeenten in het vizier heeft als het gaat om het naleven van de Algemene Verordening Gegevensbescherming (AVG). Zo is zichtbaar wat de gevolgen zijn bij ontwikkelingen voor efficiëntere dienstverlening waar onvoldoende naar privacy aspecten wordt gekeken. In dit artikel komen de belangrijkste aandachtspunten naar voren bij het inzetten van nieuwe technologische ontwikkelingen door gemeenten.
17 januari 2024 • Nieuws
Toezichthouder AP deelt boete uit aan Gemeente Voorschoten: de lessen?
Onderzoek gestart na verzoek inwoner
En opmerkelijk; de AP is dit onderzoek gestart na een handhavingsverzoek van een inwoner. Het toont aan dat individuele burgers een actieve rol kunnen spelen in de handhaving van hun privacyrechten. Het indienen van een klacht door een inwoner is een signaal van betrokkenheid en bewustzijn. Dat de AP actie onderneemt op basis van een individuele klacht, laat ook zien dat ze individuele verzoeken serieus neemt en benadrukt hun rol als een toegankelijke en responsieve autoriteit richting betrokkenen.
De boete aan de gemeente Voorschoten
Enkele jaren terug heeft de gemeente Voorschoten besloten om de traditionele kliko’s bij huishoudens te vervangen door geavanceerde containers voorzien van chips. Ter vervanging van de gemeenschappelijke bovengrondse afvalcontainers, introduceerde de gemeente ondergrondse containers die enkel geopend kunnen worden met speciale tokens. Deze nieuwe kliko’s en de tokens voor de ondergrondse containers bevatten een chip met een uniek nummer, gekoppeld aan specifieke woonadressen. Het primaire doel van deze innovatie was het bevorderen van gescheiden afvalinzameling en het beperken van de hoeveelheid aangeboden restafval per huishouden.
Zodra een inwoner een container opent met een token, registreert het IT-systeem van de gemeente verschillende gegevens. Dit omvat het nummer van het token, adresgegevens van de gebruiker, de datum en tijd van de afvalstorting, locatie van de container en het type afval. Deze informatie werd voor een periode van vijf jaar in het systeem opgeslagen.
De AP constateerde dat de gemeente op twee punten de fout in is gegaan. Allereerst vond de AP dat de opslag van deze gegevens gedurende vijf jaar te lang was, omdat die termijn veel langer dan noodzakelijk is om te controleren of een huishouden over de toegestane hoeveelheid gaat. Daarnaast oordeelde de AP dat hoewel bewoners van flatgebouwen geïnformeerd werden over het nieuwe systeem via een brief, er niet duidelijk werd gecommuniceerd welke persoonsgegevens verwerkt zouden worden met het token, met welk doel deze verwerking plaatsvond en op welke grondslag.
Technologie en privacy
Maurice Hartsinck, consultant bij de DMCC Group, benadrukt het belang van evenwicht: “Gemeenten staan voor de taak om hun dienstverlening te moderniseren, terwijl ze de privacy van burgers waarborgen. Technologie kan hierin een cruciale rol spelen, maar het vereist een zorgvuldige afweging van privacyrisico’s.” Hartsinck voegt toe: “Transparantie over gegevensverwerking en het hanteren van een proportionele bewaartermijn zijn essentieel. Betrokkenen moeten duidelijk worden geïnformeerd over wat er met hun gegevens gebeurt.”
De situatie in Voorschoten toont aan dat het niet alleen gaat om het implementeren van technologie, maar ook om het begrijpen en respecteren van de AVG-regelgeving. “En dat is hier goed misgegaan. De AP rekent het organisaties aan als zij privacy niet voldoende meewegen bij de uitvoering van activiteiten.”
Aandachtspunten voor gemeenten in relatie tot de AVG
Verder illustreert deze boete enkele belangrijke aandachtspunten voor gemeenten in relatie tot de AVG. Wilt u een nieuwe technologie inzetten en wilt u zeker weten dat u binnen de grenzen van de wet blijft? Let dan op de volgende aandachtspunten:
- Voer een grondige Data Protection Impact Assessment (DPIA) uit.
Voordat een project met mogelijk grote privacy risico’s voor de betrokkenen (zoals de implementatie van een chip- en tokensysteem voor afvalbeheer) wordt gelanceerd, is het essentieel om een DPIA (ook wel bekend als gegevensbeschermingseffectbeoordeling ofwel GEB), uit te voeren. Dit helpt bij het identificeren en minimaliseren van de privacy risico’s van de gegevensverwerking.
- Zorg ervoor dat de inwoners van de gemeente voldoende op de hoogte worden gehouden.
Een cruciaal aspect van de AVG is transparantie. De gemeente had duidelijk en volledig moeten communiceren met inwoners over welke persoonsgegevens verzameld worden, waarom deze verzameld worden en hoelang ze worden bewaard. Dit omvat ook informatie over de rechten van de betrokkenen, zoals het recht op inzage en het recht op verwijdering van hun gegevens.
- Zorg ervoor dat de gegevens worden verwijderd wanneer ze niet meer noodzakelijk zijn.
De AVG vereist dat alleen de gegevens die strikt noodzakelijk zijn voor het beoogde doel worden verzameld en bewaard én voor niet langer dan nodig. De gemeente had een kortere bewaartermijn moeten hanteren die proportioneel is aan het doel van afvalbeheer.
Dit geval vestigt de aandacht op de verantwoordelijkheden van de gemeente met betrekking tot de bescherming van persoonsgegevens. Gemeenten hebben een wettelijke plicht om de privacy van hun burgers te beschermen en schendingen kunnen pittige gevolgen hebben. DMCC kan gemeenten bijstaan in deze complexe materie door een combinatie van juridische expertise en technologisch inzicht. Wilt u meer weten over hoe wij uw gemeente kunnen helpen bij het vinden van de juiste balans tussen innovatie en privacy? Neem contact met ons op voor een vrijblijvend gesprek.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
