De Autoriteit Persoonsgegevens (AP) komt met aanbevelingen voor smart-city-toepassingen bij gemeenten. De privacy-toezichthouder roept daarin op om kritischer te zijn op privacy bij projecten waarin burgers gevolgd worden via technologie. ‘Het gevaar bestaat dat we naar een surveillancemaatschappij gaan waar je niet meer ongedwongen over straat kunt lopen.’
Dat zegt AP-vice-voorzitter Monique Verdier bij het delen van zeven aanbevelingen (zie kader onderaan artikel) om privacy beter te waarborgen bij smart-city-projecten. De aanbevelingen zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn.
‘Slecht ontwikkelde toepassingen kunnen ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente. Bijvoorbeeld wanneer burgers in de openbare ruimte worden gevolgd op een manier die niet nodig of toegestaan is’, schrijft de AP.
Volgens de toezichthouder staan gemeenten vaak onvoldoende stil bij privacywetgeving en de verwerking van persoonsgegevens die bij die projecten vaak in het geding zijn. Met sensoren of meetapparatuur worden bijvoorbeeld verkeersstromen en bezoekersaantallen gemeten of uitgaansgebieden gemonitord om de mobiliteit en veiligheid te verbeteren. Veel gemeenten zijn zich onvoldoende bewust dat die technologie en de opslag van persoonsgegevens vaak in strijd is met de Algemene verordening gegevensbescherming (AVG).
Kritiek op raadsleden
De verschillen per gemeente zijn groot. De AP roept gemeenteraden op om kritisch te kijken naar de privacy als de zogenoemde smart-projecten worden besproken. Raadsleden zouden zich wat vaker achter de oren moeten krabben en moeten checken of een probleem zonder de inzet van technologie en data kan worden opgelost. Nu worden minder ingrijpende opties meestal niet onderzocht omdat er te veel van de belofte van technologie wordt uitgegaan. Ze kunnen bijvoorbeeld aankloppen bij de functionaris gegevensbescherming, adviseert AP.
Verdier: ‘De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte. Maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen. Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid? Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt? Welke informatie mag aan elkaar worden gekoppeld? De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens.’
Enschede
In april van dit jaar kreeg de gemeente Enschede een boete van de AP voor de ongeoorloofde inzet van wifi-tracking. AP meldde later dat meerdere gemeenten uit de pas lopen met wifi-tracking.
Ook waren Schotse onderzoekers zeer kritisch over de vele Nederlandse proeftuinen met smart-toepassingen waarin privacy onvoldoende is gewaarborgd. Daarin werden onder meer projecten in Roermond (tegen winkeldiefstal door Oost-Europeanen), Eindhoven (aanpak gewelddadige stappers in het uitgaansgebied) en in Utrecht (inbraakpreventie) genoemd. Ook de wifi-tracking in Enschede kreeg kritiek van de onderzoekers.
Aanbevelingen
Om de privacy van inwoners te borgen, wijst de AP onder andere op de volgende aspecten bij de ontwikkeling van smart city-toepassingen:
- Zorg dat de basisbeginselen van de AVG op orde zijn;
- Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (dpia), voor smart city-toepassingen is vaak verplicht. Een dpia helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de dpia te publiceren, burgers weten dan hoe hun privacy is geborgd;
- Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering;
- Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van jouw gemeente wel echt zo?;
- Onderzoek hoe je als gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers;
- Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de functionaris gegevensbescherming zijn of haar rol goed kan uitoefenen;
- Gebruik de kennis van burgers bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing.
De aanbevelingen zijn gemaakt op basis van onafhankelijke reflecties van verschillende deskundigen en denktanks waaronder: Waag, imec-CiTiP/KU Leuven en imec-SMIT/Vrije Universiteit Brussel.
Bron: AP.
