Column Kennedy Van der Laan “Autoriteit Persoonsgegevens publiceert eindrapport over smart cities”
Geschreven door Cees Plaizier en Rosalie Brand privacy-advocaten bij Kennedy Van der Laan.
Op 30 juli jl. heeft de Autoriteit Persoonsgegevens (AP) haar onderzoeksrapport gepubliceerd over de bescherming van persoonsgegevens in de ontwikkeling van Nederlandse Smart Cities. In het rapport uit de AP haar zorgen over toepassing van slimme technologieën door gemeentes, en doet de AP ook een aantal aanbevelingen voor hoe gemeenten moeten omgaan met privacy gerelateerde kwesties bij het selecteren en implementeren van smart city-toepassingen. Wat ons betreft is het onderzoek en het rapport een stap in de goede richting, maar nog niet de praktijkhandgids waar gemeentes bij de inzet van nieuwe technologieën behoefte aan hebben. In dit artikel gaan wij in op het rapport en de toegevoegde waarde van de hierin opgenomen aanbevelingen.
Smart City
Een Smart City is een stad of gemeente waarbij informatietechnologieën worden gebruikt om gemeenten te beheren en te besturen. Door middel van deze informatietechnologieën moet het beleid en beheer efficiënter worden, met als beoogde resultaat een betere levenskwaliteit. In het rapport worden deze informatietechnologieën ‘smart city-toepassingen’ genoemd. De AP definieert deze toepassingen als “het verzamelen en verwerken van persoonsgegevens over of in de openbare ruimte door de inzet van sensoren, technologie of andere toepassingen om inzicht in of analysemogelijkheden over de openbare ruimte te verkrijgen, of sturing van de openbare ruimte mogelijke te maken” 1. De AP noemt als voorbeelden de inzet van wifi- en bluetoothtracking, inzet van (mobiele of gedragen) camera’s en sensoren die data verzamelen van verkeer of geluid.
Het onderzoeksrapport
Al in september 2019 begon de AP met een onderzoek naar de data protection impact assessments (DPIAs) van zowel gemeentes die zich als ‘smart city’ profileren als meer ‘doorsnee’ gemeentes. De aanleiding van het onderzoek is een bezorgdheid bij de AP over de verschuiving van doelen en middelen bij smart city-toepassingen, en daarmee de verwerking van persoonsgegevens voor andere doeleinden dan oorspronkelijk bedoeld is. De AP ziet deze ontwikkeling als een potentiële bedreiging voor de grondrechten van personen die zich in de openbare ruimte begeven en heeft daarom onderzoek gedaan naar de bescherming van persoonsgegevens bij de ontwikkeling en inzet van smart city-toepassingen door gemeenten.
De voornaamste boodschap die de AP als conclusie van het rapport meegeeft, is dat privacy het startpunt van innovatie moet zijn en niet het sluitstuk. Hiermee doelt de AP op het feit dat bij het ontwikkelen van smart city-toepassingen, gemeenten de privacyrechten van burgers voorop moet stellen en niet achteraf moet kijken of deze wel voldoende gewaarborgd worden.
Met het onderzoek heeft de AP een zestal doelen beoogd:
- Inzicht verkrijgen in de verwerkingen van persoonsgegevens binnen smart city-toepassingen;
- De inzet van de DPIA als middel onderzoeken, stimuleren en daarbij voorafgaande raadpleging in de zin van artikel 36 van de AVG onder de aandacht te brengen;
- Best practices over smart city-toepassingen verzamelen en delen;
- De rol van de FG bij de ontwikkeling van smart city-toepassingen onderzoeken;
- Privacy vriendelijke innovatie stimuleren in het hele proces van ontwikkeling van smart city-toepassingen; en
- Het bewustzijn bij gemeenten vergroten dat smart city-toepassing grote risico’s voor de rechten en vrijheden van het individu met zich mee kunnen brengen 2.
De AP focust hierbij op de basiselementen van het privacyrecht, het uitvoeren van DPIAs en op de ethische en democratische kanten van Smart Cities. Bij alle drie de focusgebieden doet de AP aanbevelingen. De AP probeert duidelijk te maken dat gemeenten voorafgaand aan smart city-toepassingen rekening moeten houden met de privacyregelgeving. Zo wordt benadrukt dat gemeenten steeds voorafgaand aan het uitvoeren van smart city-toepassingen moeten kijken naar de grondslag en het doel van het verwerken van persoonsgegevens. Verder stelt de AP dat gemeenten hun DPIAs actueel moeten houden en dat gemeenten zorg dienen te dragen voor transparantie naar en betrokkenheid van de burgers.
Commentaar
In het rapport geeft de AP haar bezorgdheid bij smart city-toepassingen weer. De AP is bezorgd over het feit dat gemeenten bij de ontwikkeling naar ‘Smart City’ niet goed omgaan met het verwerken van persoonsgegevens en pas achteraf zullen beoordelen of deze verwerking voldoet aan de eisen van de AVG. Om gemeenten te ondersteunen heeft de AP aanbevelingen gedaan voor de verschillende fases die zij onderscheid bij het toepassen van smart city-toepassingen. Wat opvalt, en helaas ook tegenvalt, is dat de aanbevelingen een relatief hoog ‘open deur’ gehalte hebben en het bieden van concrete voorbeelden of handvaten lijken te schuwen.
Zo geeft de AP bij het basiselement ‘rechtmatigheid’ een aanbeveling met de strekking dat er een grondslag moet zijn om persoonsgegevens te verwerken. Hierbij noemt de AP de grondslag van artikel 6 lid 1 sub e van de AVG (verwerking ter vervulling van een taak van algemeen belang of ter uitoefening van het openbaar gezag), maar werkt ze die verder niet uit 3. Voorbeelden vanuit het onderzoek of handvatten voor de toepassing van de noodzakelijkheidstoets hadden in een dergelijk uitvoerig onderzoek niet misstaan. Ook blijkt niet hoe de AP een beroep op andere grondslagen, zoals de gerechtvaardigd belang grondslag, beoordeelt in het kader van smart city-toepassingen.
Hetzelfde geldt voor de aanbevelingen met betrekking tot DPIAs. DPIAs zijn ingewikkelde risicoanalyses die in de praktijk niet eenduidig worden uitgevoerd. Door specifiek onderzoek te doen naar DPIAs van een uniforme groep verwerkingsverantwoordelijken (gemeenten), lag hier een mooie kans om met handzame duiding voor het uitvoeren, onderbouwen en bijhouden van DPIAs de verantwoordelijke medewerkers van gemeentes een eind op weg te helpen. De aanbevelingen van de AP, zoals dat een DPIA zo vroeg mogelijk moet worden gedaan, zijn relevant maar missen wat ons betreft de diepgang om gemeentelijke DPIAs naar een hoger niveau te tillen4 .
De AP heeft met haar uitgebreide onderzoek naar smart city-toepassingen en de bijbehorende DPIAs een frisse aanpak gehanteerd, en naar onze stellige overtuiging ook echt getracht de mantel van de regulatory guidance om te slaan. Het rapport creëert bewustzijn, wijst op de relevante wettelijke systematiek en benoemt pijnpunten in het proces bij smart city-toepassingen. Toch vragen we ons af of het rapport erin slaagt gemeentes die de AVG al enigszins machtig waren en stap verder te helpen richting het smart city-schap. Hopelijk bouwt de AP in de toekomst voort op haar bevindingen met concrete voorbeelden en diepgaandere analyses.
De blog vindt u ook op de site van Kennedy Van der Laan.
Voetnoten
- 1 Autoriteit Persoonsgegevens, onderzoeksrapport Smart Cities, juli 2021, p. 7. – Terug
- 2 Autoriteit Persoonsgegevens, onderzoeksrapport Smart Cities, juli 2021, p. 7. – Terug
- 3 Autoriteit Persoonsgegevens, onderzoeksrapport Smart Cities, juli 2021, p. 9. – Terug
- 4 Autoriteit Persoonsgegevens, onderzoeksrapport Smart Cities, juli 2021, p. 16. – Terug