WODC-onderzoek: overheden blijven privacywetgeving overtreden

In het 162 pagina’s tellende rapport komen diverse situaties aan bod waaruit blijkt dat overheden zich niet aan de wetgeving houden. Dit geldt voor zowel de rijksoverheid als provincies en gemeenten. In juni 2021 besloot het kabinet om een onderzoek te starten naar de naleving van de AVG door overheden. Het WODC ging daar uiteindelijk mee aan de slag.

In het rapport wordt onder meer beschreven dat overheden openbare bronnen, zoals social media als Facebook en Twitter, op internet monitoren. Een klein deel (14%) slaat hierbij ten minste maandelijks online berichten op. Een groter deel (44%) slaat jaarlijks online berichten op, waarbij doorgaans ook persoonsgegevens zoals IP-adressen of nicknames worden opgeslagen. Er is echter niet vastgelegd in welke gevallen en onder welke voorwaarden burgers mogen worden gemonitord, waardoor risico’s bestaan op privacyschending. Ook gebeurt de monitoring vaak zonder toezicht van een functionaris gegevensbescherming.

In oktober werd uit onderzoek van AG Connect met dagblad Trouw al duidelijk dat overheden op grote schaal tweets aftappen om te achterhalen hoe burgers tegen hun beleid aankijken. Toestemming van Twitteraars ontbreekt en dat is een probleem, stellen experts destijds. Onder meer het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) gaan op die manier te werk.

Trackingssoftware

In het WODC-rapport worden ook diverse andere privacy-overtredingen genoemd. Zoals het gebruik maken van trackingsoftware door DUO in 2019. “Bij de inzet van trackingsoftware worden meerdere persoonsgegevens verwerkt, zoals het IP-adres, het e-mailadres en tijdstip van opening. Naar aanleiding van dit onderzoek is de DUO in gesprek gegaan met de AP en gestopt met het gebruik van de software. Een overtreding is niet vastgesteld.” De rapporteurs stelden ook vast dat uitvoeringsorganisaties diverse vermeende overtredingen maakten op privacy-gebied, waarbij de AP geen formeel handhavingsbesluit nam.

Gemeenten kennen wet niet

Ook valt op dat met name gemeenten veelvuldig en veel persoonsgegevens verzamelen terwijl er niet altijd een duidelijk beeld bestaat van de relevante regelgeving. In het rapport worden verder diverse aanbevelingen beschreven voor een betere naleving van de AVG.

Er wordt in de aanbevelingen door rapporteurs onder meer opgeroepen tot investeringen voor overheidsorganisaties om privacy ‘steviger te funderen’ in de organisatie. Ook schrijven de onderzoekers dat er aandacht nodig is voor het op tijd betrekken van de privacybelangen bij projecten waarbij er persoonsgegevens worden verwerkt. Management en bestuur moet het belang van privacybescherming in woord en daad benadrukken en hierbij het voorbeeld geven.