Veel overheidsinstanties hebben hun privacyregister van verwerkingsactiviteiten niet op orde. En dat terwijl de nieuwe Europese privacyregels gemakkelijke inzage in persoonsgegevensverwerking verplicht stellen. De burger moet vaak moeite doen te achterhalen hoe overheden welke gegevens gebruiken. Dat concluderen onderzoekers van de Open State Foundation, die pleiten voor gestandaardiseerde registers voor overheden.
Een privacyregister vermeldt welke persoonsgegevens waarom worden verwerkt, met wie deze data worden gedeeld, wie ervoor verantwoordelijk is, hoe lang de gegevens worden bewaard en hoe de beveiliging ervan is geregeld. De Algemene Verordening Gegevensbescherming (AVG) verplicht elke organisatie zo’n overzicht bij te houden en deze beschikbaar te stellen aan de betrokkenen.
Open State Foundation onderzocht de beschikbaarheid en kwaliteit van verwerkingsregisters van alle Nederlandse ministeries, provincies en gemeenten. Van de 379 overheden ontving de stichting 246 registers. Bijna een kwart (89) daarvan stond gewoon online en de rest bemachtigde de organisatie na informatieverzoeken. De overige overheden weigerden het verzoek of gaven aan het register nog niet te kunnen delen omdat ze er nog aan werkten.
Grote verschillen
De privacyregisters blijken per overheid sterk te verschillen. En dat terwijl bijvoorbeeld gemeenten over het algemeen dezelfde taken hebben en daardoor veelal dezelfde persoonsgegevens om dezelfde redenen verwerken. Het kleinste register dat Open State Foundation onderzocht, telde slechts 55 verwerkingen, terwijl het grootste register er 1417 had.
Grote overheidsorganisaties melden gemiddeld meer verwerkingen dan kleine organisaties. Vaak betekent een groot aantal verwerkingen ook een kleiner detailniveau van het register. Hoe kleiner het detailniveau, hoe lastiger het is om het register actueel te houden, waarschuwt de stichting.
63 procent van de ontvangen registers blijkt incompleet. Er ontbreken een of meerdere wettelijk verplichte kolommen. Daarnaast staat in 83 procent van de registers informatie die niet verplicht is. Ze worden bovendien in uiteenlopende bestandsformaten gepubliceerd, waaronder pdf, Excel, en csv. Pdf-bestanden hebben als nadeel dat ze niet goed herbruikbaar zijn en vrijwel onleesbaar door de vele kolommen.
Standaard
De onderzoekers pleiten voor een gestandaardiseerd, machine-verwerkbaar en open verwerkingsregister. ‘Dit maakt het zowel voor overheden als voor de samenleving een bruikbaar register’, zegt Tom Kunzler. Hij is adjunct-directeur van de Open State Foundation. Volgens hem is een openbaar, herbruikbaar en actueel register belangrijk voor een samenleving die wil weten welke persoonsgegevens overheden verwerken en beheren.
Overheden baseren hun register momenteel in slechts zestien procent van de gevallen op een modelregister, zoals dat van de Vereniging van Nederlandse Gemeenten (VNG). Soms gebruiken ze het voorbeeldregister van hun softwareleverancier.
De Open State Foundation is een organisatie die werkt aan digitale transparantie door publieke informatie beschikbaar te krijgen als open data en deze toegankelijk te maken voor hergebruik. Volgens de Amsterdamse stichting versterkt dit de democratie en creëert het maatschappelijke en economische waarde.
Transparantie en beveiliging
Volgens Open State Foundation draagt het register bij overheden bij aan transparantie naar de burger en aan de beveiliging van persoonsgegevens. Voorbeelden van verwerkingen zijn het bijhouden van het kiezersregister, de dienstverlening door het klantcontactcenter, de levering van identiteitsbewijzen en de verstrekking van gegevens uit de burgerlijke stand.
Als eerste is de opmerking over gemeenten terecht, ze hebben over het algemeen dezelfde processen en daarom dus ook gelijksoortige privacyregisters. Omvangsverschillen tussen gemeenten lijken me niet relevant aangaande het aantal verwerkingen van persoonsgegevens vanuit een basisregistratie. Pleiten voor een gestandariseerd verwerkingsregister is dan ook logisch want het recht op (kosteloze?) inzage, correctie en zonodig verwijdering is een grondrecht.
Het basisregister blijkt echter voor 15% (of meer) onjuist te zijn, het fenomeen van spookburgers die wel ingezetene van een gemeente zijn maar niet ingeschrevene leidt tot fraude. Deze fraude gaat tot hoogste echolons zoals recente ophef over vergoedingen aangaande reis- en verblijfskosten van politici laat zien.
Ik vermoed dat met “privacyregister” wordt bedoeld het register gegevensverwerkingen uit artikel 30 van de AVG. In de tweede alinea van bovenstaand artikel staat dat het register beschikbaar gesteld moet worden aan de betrokkenen. Ik ben benieuwd waar dit precies in de AVG staat.
Waarom de Open State Foundation denkt inzage te moeten krijgen in deze registers is mij niet duidelijk. In artikel 30 van de AVG staat wel beschreven dat een verwerkingsverantwoordelijke het register gegevensverwerkingen desgevraagd ter beschikking stelt aan de toezichthoudende autoriteit, maar dat is niet de Open State Foundation (wie dat dan ook moge zijn).