Privacybeleid rond GBA slecht geregeld
Op verzoek van de Tweede Kamer is sinds begin 2001 ook privacy een auditonderwerp. In de loop van 2004 moet daarover bij alle 489 gemeenten iets te zeggen zijn. Het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) heeft momenteel rapporten over 254 gemeenten binnen. Uit een interne mail blijkt dat daarvan 109 gemeenten, 43 procent, in één keer zijn geslaagd. In het julinummer van het BPRhuisorgaan was nog sprake van 40 procent. Senior beleidsmedewerker Annemarieke van Splunter noemt daarin het slagingspercentage ‘te laag’. Daarbij merkt ze op dat ‘de privacyvragen in de audit zich nog maar beperken tot een fractie van wat verplicht is’. De ministeriële auditregeling vermeldt de onderdelen: gegevensverwerking, privacyverordening, naleving protocolplicht (zodat burgers kunnen nagaan aan wie gegevens zijn verstrekt), naleving inzageprocedure, procedure geheimhoudingsverzoeken, en de regelingen GBAbeheer, buitengemeentelijke afnemers, binnengemeentelijke afnemers en verstrekking aan ‘vrije derden’ (geen vaste afnemers). Volgens het BPRblad zijn de managementsamenvattingen die het van gemeenten ontvangt, ‘niet gedetailleerd genoeg om uitspraken te kunnen doen over de achtergronden van de uitkomsten’. Ook de BPRdirectie, om een toelichting gevraagd, zegt dat in eerste instantie. Een werkdag later weet ze zonder voorbehoud te melden dat het grote aantal zakkers ‘met name een procedurele achtergrond’ heeft: "De gemeentelijke verordening en de regelingen moeten jaarlijks worden geactualiseerd. Niet alle gemeenten blijken daaraan te voldoen. Ook al is één van de acht onderdelen niet geactualiseerd, dan zakt men voor het geheel." Dat het ‘met name een procedurele kwestie is die binnen korte tijd kan worden hersteld’, blijkt volgens BPR ook uit het feit dat van 53 gemeenten die een heraudit hebben gedaan, vijftig alsnog slaagden. Overigens heeft Het Expertise Centrum eind 2001 in een evaluatie van de eerste twee jaar GBAaudits gezegd dat heraudits een beperkt effect hebben. Gemeenten die een herkansing nodig hebben, zakken daarna veelal weer terug. Veel gemeenten hebben nog niet voldaan aan de wettelijke verplichting om hun GBAregeling te melden bij het College Bescherming Persoonsgegevens (CBP). Op grond van de Wet Bescherming Persoonsgegevens hadden ze dat al op 1 september 2001 moeten doen. Volgens een CBPzegsman blijven 206 gemeenten nog altijd in gebreke. Het college werkt aan een beleidsplan GBA.