AVG/GDPR

De focus van de Autoriteit Persoonsgegevens Nederland (AP) ligt op databescherming in een digitale samenleving, waarbij smart cities één van de focusgebieden is. Het doel van hun onderzoek was om een beeld te krijgen van smart cities in Nederland en om op basis hiervan best practices en verbeterpunten te verzamelen. Hiervoor hebben ze 12 gemeenten in twee rondes bevraagd, aan de hand van interviews met wethouders, ambtenaren, onderzoekers en experts). Bedoeling was niet om handhavend op te treden, maar de juiste toepassing van de AVG (GDPR) te bevorderen en te stimuleren. Er is ook breder gekeken dan de zuiver juridische vraagstukken. Zo namen ze bijvoorbeeld ook de rol van de gemeenteraad en ethische vraagstukken onder de loep. Smart cities is een containerbegrip, de AP heeft het gedefinieerd als “het verzamelen en verwerken van persoonsgegevens over of in de openbare ruimte door de inzet van sensoren, technologie of andere toepassingen om inzicht in, of analysemogelijkheden over de openbare ruimte te verkrijgen, of sturing van de openbare ruimte mogelijk te maken”. Dit is een hele ruime definitie, maar in het onderzoek kwam ook een heel gamma van toepassingen aan bod, bijvoorbeeld ANPR camera’s, applicaties voor stoplichten, bodycams, slimme afvalbakken, etc. Vooral grotere gemeenten staan al verder en hoofdzakelijk doelen van veiligheid en mobiliteit kwamen aan bod.

Wat betreft de basisbeginselen van de AVG komen gemeenten snel tot de conclusie dat de gegevens die ze gebruiken geen persoonsgegevens zijn. Doelbinding en persoonsgegevens gaan hand in hand: waarvoor willen we die gegevens gebruiken en zijn het persoonsgegevens? De AP merkt dat hier vaak problemen opduiken. Hetzelfde voor rechtmatigheid, het klinkt heel simpel maar voor gemeenten is het best lastig: als gemeente heb je een algemeen doel, namelijk burgers beschermen, maar alles wat je wil doen moet exact beschreven zijn. Een ander beginsel waar ze veel problemen hebben gezien is de proportionaliteit: staat wat je doet in verhouding tot wat je wil bereiken? Technologie is heel interessant, maar soms wordt het bijna verheven tot een vorm van geloof dat data en technologie alles kan verbeteren en oplossen. Het experimenteren daarmee is op zich niet verkeerd, maar wel goed nadenken dat alles in proportie is, dat de grondrechten van de burgers niet geschonden worden. Subsidiariteit: zijn er minder ingrijpende alternatieven? Ook altijd evalueren of je wat je wilde bereiken ook wel echt bereikt hebt.

Data Protection Impact Assessment (DPIA)

De AP stond ook stil bij de Data Protection Impact Assessment (DPIA) als instrument. Liefst gebruiken als instrument om het meteen te doen, in de praktijk zien ze dat het vaak als laatste stap komt. Ze zien ook een groot misverstand, namelijk de idee dat als je een proefproject of pilot doet, dat je dan geen DPIA moet doen. Volgens de AP is het zo dat als je persoonsgegevens gebruikt, je meteen de waarborgen moet naleven, dus moet je de DPIA uitvoeren. Een DPIA is ook geen eenmalige oefening, moet regelmatig bijgewerkt worden.

In principe verwacht je dat in smart city projecten de burger centraal staat, maar in de realiteit is dit helemaal niet het geval. Volgens de AP wordt de burger vaak zelfs helemaal vergeten. Een mogelijkheid is om ze een plaats te geven in de DPIA. Een andere optie is om de burgers te betrekken via de gemeenteraad, maar in de praktijk wordt deze ook vaak niet betrokken.

Een ander punt is dat gemeenten onzeker zijn over wat er in gemeente gebeurt. Gemeenten wensen dit wel te regelen, bijvoorbeeld via een sensorregister: in kaart brengen welke sensoren zich in gemeente bevinden en hoe hiermee omgaan? Gemeenten zijn ook verantwoordelijk voor veel verwerkingen: niet alleen verantwoordelijk voor publieke ruimte, maar ook voor publieke waarden. De AP ziet dat gemeenten zich hier meer van bewust worden.

Als besluit zien ze dat er veel interessante ontwikkelingen zijn, maar ook dat smart cities vaak gefragmenteerder zijn dan gedacht. Het gaat vaak om heel kleine projecten die op zich onschuldig zijn, maar als geheel vaak problematischer zijn en meer zijn dan de optelsom van de individuele delen. Dat risico wordt nog niet altijd onderkend door de gemeenten.

Fragmentatie kennis én toezicht

David Stevens van de GBA ging voort op de ‘fragmentatie’, maar dan binnen België, waar verschillende toezichthouders rond de bescherming van persoonsgegevens werkzaam zijn, zoals de GBA, de VTC en de COC. Zo is de GBA verantwoordelijk voor alles wat civiel is, maar haar toezicht stopt aan de grens met de politie, bijvoorbeeld wat betreft ANPR camera’s.

Recent veel toepassingen rond druktemetingen en camera’s voor automatische controle op GSM-verbruik achter het stuur. Bepaalde steden willen camera's gebruiken om sportbeleid te gaan vormgeven. Dan wordt het wel wat problematisch wat betreft proportionaliteit en subsidiariteit.

De GBA merkt dat veel gemeenten zeker niet van slechte wil zijn, maar dat er wel nog altijd een gebrek aan kennis is. Daarom is het niet altijd mogelijk om als toezichthouder vragen af te blokken door te verwijzen naar het "accountability"-principe. Er zijn mogelijkheden nodig om een aantal andere, nieuwe instrumenten die spanningsveld voor concrete verwerkingen verkleinen, bijvoorbeeld door gedragscodes. Een andere mogelijkheid is het zogenaamde sandboxing wat de toezichthouder graag zou testen, omdat het een nuttige manier is om gemeenten zekerheid te geven zonder daarbij in te boeten aan bescherming.

Hans Graux van de VTC, verantwoordelijk voor 300 steden en gemeenten, merkt op dat veel smart city projecten onder de radar blijven. Het rapport is dan ook heel waardevol omdat het een aantal best practices op papier zet die meteen bruikbaar zijn, zeker voor kleinere steden en gemeenten. Ook in Vlaanderen zie je dat het vooral de grotere steden zijn die durven experimenteren.

Vanuit de Vlaamse praktijk is het interessant om te kijken naar de rechtsgrond: op basis van welke grond gaat men persoonsgegevens verwerken. Dat is een complexe vraag omdat steden en gemeenten geen gebruik kunnen maken van het algemeen belang, zij moeten altijd een wettelijke taak hebben. In de praktijk heel moeilijk omdat smart city projecten heel vaak publiek-private samenwerkingen zijn. De kern van de zaak is hier wie kan de persoonsgegevens gebruiken, wie kan hierover beslissingen nemen? Bij voorkeur is dit de gemeente, maar in realiteit is dit vaak niet het geval.

Opletten voor 'Function Creep'

Een ander aandachtspunt is de zogenaamde function creep: we gaan een nieuw project opstarten, maar we hebben al een deel gegevens op basis van een project van een aantal jaren geleden, die we kunnen hergebruiken. Bestaande infrastructuur gebruiken op zich niet fout, maar kan gevaarlijk zijn. Vaak is de vraag: kunnen we hier niet meer mee doen? Vaak vanuit de reflex om de kostprijs te verantwoorden. Projecten moeten altijd goed omkaderd worden.

Smart city projecten zijn echter meer dan andere projecten evolutief. Er zijn altijd goede bedoelingen, maar er is vaak een gebrek aan overkoepelend toezicht. Een vraag die zich stelt is rond governance: waar is het stuurcomité? wie bekijkt of project nog voldoet aan DPIA of ethische normen? DPIA’s zijn vaak een goed startpunt, maar er is verdere opvolging nodig.

Rob Heyman sprak over het feit dat participatieve impact assessments nog veel te weinig gebeuren. Niemand begint aan een smart city project met slechte bedoelingen, maar er zijn nog wel altijd veel vragen over hoe de AVG geoperationaliseerd moet worden. Best practices zijn hierin belangrijk. Vaak wordt er te weinig aandacht besteed aan de wijze om van de WAT naar de HOE te gaan. Er wordt ook weinig aandacht besteed aan de transparantie van DPIA’s.

EU is heel ambitieus geweest, veel aandacht voor het juridisch-administratieve aspect. We zouden moeten gaan van handhaving naar prototyping. Eerder van wat als vertrekken en dan kijken of het werkt. Zijn er tools die we kunnen ontwikkelen rond ethische kwesties of burgerparticipaties. Zijn er ook middelen om de DPIA’s transparant te maken zodat ze naar de burgers gecommuniceerd kunnen worden? Stel dat we morgen DPIA's publiceren, hoe zorgen we ervoor dat deze niet hetzelfde lot beschoren zijn als de privacy statements die we momenteel en masse op consumenten afvuren?

In de discussie kwamen een aantal vragen aan bod in verband met de doelbinding en het nieuwe gebruik van bestaande infrastructuur Volgens de toezichthouders zijn experimenten zeker mogelijk. Maar voor een nieuw project moet je steeds opnieuw het proces voeren en de waarborgen bekijken. Het betekent zeker niet dat je data niet opnieuw kan gebruiken.

Andere vragen gingen over de bepaling van de grenzen van wat kan en niet kan. Overheden moeten nagaan hoe bepaalde projecten kaderen binnen hun opdracht.