De Autoriteit Persoonsgegevens (AP) maakt zich zorgen over de slimme toepassingen waarmee gemeenten verspreiding van het coronavirus in de openbare ruimte willen tegengaan. Dit geldt met name voor applicaties die zijn gericht op handhaving van de veiligheidsregels.
De privacywaakhond meldt dat in een update van het onderzoek naar de ontwikkeling van smart cities. De AP inventariseert daarbij hoe gemeenten omgaan met de privacy. In toenemende mate kijken overheden naar datagedreven oplossingen. Vaak gaat het daarbij om verwerking van persoonsgegevens. De AP hoopt het onderzoek, dat vorig najaar is gestart, na de zomer af te ronden. Vooruitlopend daarop heeft de AP al wat eerste uitkomsten gedeeld.
Minister Dekker (Rechtsbescherming) heeft onlangs aandacht gevraagd voor de voorwaarden waaronder gemeenten wifi-tracking mogen inzetten. De AP waarschuwt dat het in kaart brengen van de bewegingen van individuen grote privacyrisico’s met zich mee brengt. Volgens de AP kan dit alleen als het strikt noodzakelijk is en als minder ingrijpende maatregelen onmogelijk zijn. Bovendien moet het echt effect hebben op de bestrijding van het virus. Betrokken partijen moeten zich ook maximaal inspannen voor transparantie en de rechten en vrijheden van burgers. Dat is nodig om het vertrouwen van burgers te winnen én te behouden, stelt de AP.
Kleinere gemeenten lopen achter
De AP vindt het belangrijk dat gemeenten vroegtijdig in hun processen stilstaan bij de grondrechten en keuzevrijheden van mensen. Het gebruik van data in de openbare ruimte raakt iedereen die zich daarin begeeft. Daar wordt wel eens lichtvaardig over gedacht. Mensen verwachten een zekere anonimiteit als ze op straat lopen. Maar in werkelijkheid hangen er steeds meer camera’s en sensoren die je registreren of volgen.
Volgens Anna Maj Drenth, senior inspecteur bij de AP, heeft niet iedereen dat meteen door. Bij een datalek gaat het direct ook om persoonsgegevens van heel veel burgers.
Inmiddels heeft een diverse groep gemeenten informatie aangeleverd voor het AP-onderzoek. Het valt Drenth op dat grote gemeenten duidelijk verder zijn met smart city-toepassingen. Ze hebben vaak al beleid of kaders opgesteld over de vereisten die aan deze toepassingen worden gesteld. Kleinere gemeenten zijn lang niet zo ver.
Gemeenten zijn verplicht om privacyrisico’s bij smart city-toepassingen in kaart te brengen. Ze moeten deze risico’s beheersbaar maken voordat wordt begonnen met de verwerking van persoonsgegevens, ook bij kleine proefprojecten. Dit gebeurt met een ‘data protection impact assessment’ (dpia). Als de risico’s niet voldoende zijn af te dekken en er geen oplossing bestaat, moeten de gemeenten de AP vooraf raadplegen. Senior inspecteur Gerald Hopster wijst gemeenten erop dat de AP wel acht tot veertien weken nodig heeft om tot een oordeel te komen. Als een gemeente zo’n applicatie wil inzetten voor een bepaald evenement, moeten de risico’s dus tijdig zijn geïnventariseerd.