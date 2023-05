Het stadhuis van de gemeente Amsterdam. Beeld ANP / ANP

De gemeente is verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Dat is iemand die toezicht houdt op de naleving van de AVG, waarin staat wat er allemaal wel en niet mag met de persoonsgegevens van mensen. De gemeente heeft daarnaast ook een privacy officer die het privacybeleid van de gemeente ontwikkelt.

Op dit moment worden de functies van functionaris gegevensbescherming en privacy officer bij de gemeente door dezelfde persoon vervuld. Dat mag niet, volgens artikel 38 van de Algemene Verordening Gegevensbescherming (AVG) moeten de functies door verschillende mensen uitgevoerd worden, stelt de ombudsman.

Vertrouwen

“De gemeente verwerkt heel veel gegevens van mensen, bijvoorbeeld over schulden, inkomen en nationaliteit,” zegt ombudsman Munish Ramlal. “Burgers moeten erop kunnen vertrouwen dat die informatie niet zomaar op straat komt te liggen en dat daar volstrekt onafhankelijk op wordt gecontroleerd door een FG.”

Doordat de functionaris gegevensbescherming óók de privacy officer is, controleert deze persoon bij de gemeente het beleid waar hij zelf mede vorm en uitvoering aan geeft. “Nu moet de functionaris op de ene dag in de week het college adviseren en op de andere dag het college intern controleren,” zegt Ramlal.

Een voorbeeld is het programma Gidso, dat door de gemeente wordt gebruikt om onder meer beter samen te werken met buurtteams en zorginstellingen. Volgens de ombudsman heeft de privacy officer geadviseerd over de ingebruikname met het programma, en controleert hij ook of de gegevens van de gebruikers goed beschermd worden.

Belangenverstrengeling

“Dat kan leiden tot een belangenconflict,” zegt Ramlal. “Ondanks allerlei werkafspraken die je daarover kunt maken, kan er onduidelijkheid komen over welk belang zwaarder weegt; dat van de organisatie of van de betrokkenen. Bovendien zou de functionaris beïnvloed kunnen worden door de gemeente tijdens het controleren.” Ook vreest de ombudsman dat er door het combineren van de twee rollen niet genoeg tijd is om de controlerende taak goed uit te voeren.

De gemeente laat weten dat er is gekozen voor de combinatie van functies omdat er, door het vertrek van de voormalige functionaris in maart, snel gehandeld moest worden. “Een FG is verplicht en op deze manier konden lopende dossiers geborgd worden,” zegt een woordvoerder. Volgens de gemeente is de constructie niet verboden volgens de Autoriteit Persoonsgegevens, zolang er geen sprake is van belangenverstrengeling in de uitvoer van de werkzaamheden.

Nieuwe functionaris

De ombudsman heeft een melding gedaan bij de Autoriteit Persoonsgegevens. “Het is uiteindelijk aan de privacywaakhond om een overtreding formeel vast te stellen,” zegt hij. “Maar wat mij betreft hoeft het zover niet te komen. De oplossing is simpel, maar principieel. De huidige functionaris gegevensbescherming moet zich alleen toeleggen op toezicht, en de gemeente moet op zoek naar een nieuwe privacy officer.”

De gemeente laat weten dat er maatregelen zijn getroffen om de onafhankelijkheid van de tijdelijke functionaris te waarborgen. Zo controleert de tijdelijke functionaris niet zijn eigen werk en houdt een andere collega toezicht. “Desondanks vinden ook wij dat deze situatie zo kort mogelijk moet duren. Per 1 juni aanstaande verwachten we een nieuwe privacy officer aan te stellen. Hiermee wordt de huidige situatie beëindigd. Uiteraard wordt er zo spoedig mogelijk ook een nieuwe FG geworven.”

