‘Amsterdam doet zich transparant voor, maar dat valt tegen’: privacywet AVG na 5 jaar nog niet goed nageleefd

Stel: je hebt schulden en klopt bij de gemeente aan voor hulp. Vanaf dat moment worden er talloze gegevens over je verzameld. “Er wordt gevraagd naar je inkomen, waar je geld aan uitgeeft en waarom, of er sprake is van een alcohol- of drugsverslaving en of je psychische problemen hebt,” zegt Nadia Benaissa, juridisch beleidsadviseur van Bits of Freedom.

Ze gaat door met de opsomming: “Of je kinderen hebt, want op schulden volgt vaak armoede en misschien moet de afdeling Jeugd erbij betrokken worden. Is er sprake van een uitkering? Al die lijntjes worden vanuit de gemeente geïnitieerd – er wordt informatie uitgewisseld tussen afdelingen en met maatschappelijke organisaties. Dat gaat heel snel, en het heeft een grote impact op iemands leven. Op jouw leven.”

Overtreding AVG

Het is volgens Bits of Freedom, een organisatie die opkomt voor digitale burgerrechten, een trend: verschillende afdelingen binnen gemeenten die allerlei gegevens uitwisselen en met elkaar combineren om een beeld van een burger te schetsen. Soms kan dat helpen bij het uitvoeren van een wettelijke taak, zoals bij de schuldhulp, maar Benaissa oordeelt streng: die uitwisseling mág volgens de AVG niet.

Die AVG, de Algemene verordening gegevensbescherming, bestaat donderdag vijf jaar. De privacyregelgeving op Europees niveau geeft burgers meer rechten en bedrijven en overheden meer plichten op het gebied van privacy.

De naleving van de wet gaat alleen na al die tijd ‘nog niet zo lekker’, zegt Benaissa. Die conclusie werd afgelopen december al bevestigd door onderzoek binnen de overheid. “Het is zó belangrijk, want het gaat iedereen aan. Kijk naar het toeslagenschandaal: daar ging het compleet mis.”

Amsterdam heeft volgens Bits of Freedom, net als vele andere gemeenten, de zaken rondom privacy niet op orde.

“De gemeente Amsterdam doet zich transparant voor, maar dat blijkt erg tegen te vallen. Informatie over uitkeringen, over mogelijke schulden, de WOZ-waarde van huizen: de gemeente Amsterdam moet sinds de AVG bijhouden welke gegevens ze verwerkt en gebruikt. Maar dat register was in 2020 niet volledig of actueel. Hoe dat inmiddels geregeld is weten we niet: daarover is nooit meer iets bekendgemaakt. We hebben de gemeente Amsterdam uitgenodigd om in gesprek te gaan, maar daar is nooit op gereageerd.”

Tot zover de transparantie.

“Precies. Je zou zeggen dat het ook in het belang van de gemeente is om zoiets naar buiten te brengen en daarover met ons te communiceren. De AVG is bedoeld om de machtsbalans en de informatie-asymmetrie tussen de overheid en de burger een beetje te herstellen. Overheden, en vooral gemeenten, weten enorm veel over burgers. Ze houden van de wieg tot het graf alles bij. Die gegevens worden aan elkaar gekoppeld, geanalyseerd en binnen de organisatie gedeeld. Maar hoe dat precies gebeurt, blijft vaak onduidelijk.”

De machtsbalans herstellen is dus nog niet echt gelukt?

“Nee. Er kan zomaar een notitie in je dossier terechtkomen waar je niets van afweet en waar je nooit achter kunt komen. Als een hulpverlener zonder enig bewijs constateert dat er mogelijk sprake is van een alcoholverslaving, dan kan dat in allerlei systemen terechtkomen. Zonder dat het waar hoeft te zijn en de burger ook maar iets van die aantekening weet. Bij een inzageverzoek, dat iedere burger kan doen, komt zo’n detail niet naar voren. Een persoonlijke aantekening hoeft namelijk niet openbaar te worden gemaakt.”

“Het helpt niet dat Amsterdam zelf geen overzicht heeft van de algoritmen die een grote impact hebben op het leven van burgers, zoals onlangs bleek uit onderzoek van Het Parool. Experts waren kritisch: hoe kun je Amsterdammers beschermen als je je eigen werk niet kent? Het kan burgers als het verkeerd gaat jarenlang achtervolgen, zoals bij slachtoffers van het toeslagenschandaal nog altijd het geval is.”

De lokale toezichthouder moet dat soort zaken voorkomen, maar bij de gemeente Amsterdam bleek dit sinds kort dezelfde persoon te zijn als degene die binnen de organisatie advies geeft over privacyzaken. Een combinatie van functies die volgens de AVG verboden is.

“Een slager die zijn eigen vlees keurt. Zo’n toezichthouder moet onafhankelijk advies kunnen geven. Dat kan niet als hij in een andere functie vanaf het begin bij een project betrokken is. Vergelijk het met de Tweede Kamer, dat een wetsvoorstel doet, waar ook de Eerste Kamer mee moet instemmen. Als in de Tweede Kamer dezelfde personen zetel hebben als in de Eerste Kamer, dan heeft die hele volgende laag van zorgvuldigheid helemaal geen zin.”

Loopt Amsterdam achter op dit gebied?

“Het kan beter. De gemeente Amsterdam lijkt actief in het ondernemen van stappen om goed over de bescherming van persoonsgegevens na te denken. Zo betrekken ze met een speciale commissie mensen van buiten de organisatie, onafhankelijke experts die advies uitbrengen. Dat ze verschillende middelen inzetten, is positief.”

Zoals verschillende registers, om transparant naar burgers te zijn – alleen werken die niet naar behoren.

“Amsterdam doet alsof ze transparantie heel belangrijk vindt. Het was de eerste gemeente die een openbaar algoritmeregister publiceerde, maar dat is verre van compleet. Zo’n instrument moet niet alleen een publiciteitsstunt zijn, want het komt met een grote verantwoordelijkheid. Als je zegt transparant te zijn, moeten burgers daar ook van kunnen uitgaan. Als je maar een deel van de informatie laat zien, creëer je schijntransparantie.”

Je zou ook kunnen zeggen: Amsterdam heeft tenminste zo’n algoritmeregister.

“Ja, ze hebben in ieder geval iets. Of ze hun best doen is dan een tweede. We moedigen een algoritmeregister aan, maar dan moet je die verantwoordelijkheid ook serieus nemen. Dat doet de gemeente Amsterdam niet.”

Voor veel burgers zijn het waarschijnlijk kleine, onbeduidende zaken. Toch staan ze niet op zichzelf: is dit slechts het topje van de ijsberg?

“Wat aan het licht komt bij de gemeente Amsterdam baart ons echt grote zorgen. Dat het verwerkingsregister niet op orde was, klinkt heel administratief, maar het is de basis van alles. Als je als organisatie niet precies weet welke gegevens je hebt, wat je daarmee doet en hoe ze beveiligd worden, dan gaan bij ons alle alarmbellen af. Vooral als je bedenkt wat ze allemaal met die gegevens doen: de gemeente Amsterdam experimenteert constant met algoritmen, maar als de gegevens niet juist zijn, dan zijn de uitkomsten dat ook niet.”

Toch zijn we van ver gekomen, besluit Benaissa: de vorige privacywet was hopeloos achterhaald, terwijl de AVG ‘een sterke wet’ is met invloed ver buiten de landsgrenzen en die van Europa. “Maar zeker nu er veel gevoelige persoonsgegevens worden verzameld en kwaadwillenden proberen systemen te hacken, zou de naleving ervan hoog op de agenda moeten staan. Dat de basis bij overheden nog altijd niet op orde is, is gewoon belachelijk.”

Luister naar onze wekelijkse podcast Amsterdam wereldstad: