De Autoriteit Persoonsgegevens (AP) heeft aanbevelingen gedaan voor de ontwikkeling van smart city-toepassingen. Die zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn.
Smart city-toepassingen bieden veel kansen voor gemeenten, maar leveren ook uitdagingen op als het gaat om de privacy. De AP komt nu met aanbevelingen om gemeente inzicht te geven in de privacywetgeving. Volgens de toezichthouder is dat essentieel bij smart city-toepassingen.
Monique Verdier, vicevoorzitter van de AP, zegt: “De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte, maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen. Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid? Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt? Welke informatie mag aan elkaar worden gekoppeld? De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens.”
Grote verschillen
De AP heeft gekeken naar de mate waarin gemeenten smart city-toepassingen gebruiken en hoe ze bij de ontwikkeling en invoering daarvan de persoonsgegevens van inwoners en bezoekers beschermen. De verschillen bij de inzet van smart city-toepassingen zijn groot. Sommige gemeenten lopen voorop in de ontwikkeling ervan en zetten hiervoor nieuwe technologieën in. Maar er zijn ook gemeenten die geen of heel weinig smart city-toepassingen gebruiken. Dit verschil wordt onder meer bepaald door de omvang van de gemeente en de vraagstukken die er leven.
Gemeenteraden moeten scherp zijn op digitalisering en de inzet van smart city-toepassingen, vindt de AP. Zij moeten voldoende kennis hebben en informatie over smart city-toepassingen krijgen om hun controlerende taak goed uit te kunnen voeren. Gemeenteraadsleden kunnen bijvoorbeeld bij hun interne privacytoezichthouder – de Functionaris gegevensbescherming (FG) – vragen hoe de privacy is geborgd en welke risico’s er zijn voor mensen die in hun gemeente wonen, werken of er op bezoek zijn.
Startpunt van innovatie
Nederland beschikt over veel technologische kennis en innovatiekracht. Gemeenten kunnen dit goed benutten voor het ontwikkelen van privacy-vriendelijke smart city-toepassingen, áls die technologie wel echt nodig is om een probleem in de openbare ruimte aan te kunnen pakken. Want waar een probleem zonder inzet van die technologie en data kan worden opgelost, moet een gemeente deze vaak minder ingrijpende optie onderzoeken, meent Verdier.
“Technologie kan ons helpen om onze problemen op te lossen en de stad leefbaarder en veiliger te maken. Maar we moeten het wel zo inregelen dat ze niet zelf allerlei nieuwe problemen en onveiligheidsgevoelens veroorzaken. Bestuurders en ambtenaren moeten de rechten en vrijheden van burgers uiterst serieus nemen. Dat betekent dat zij hun privacy ook daadwerkelijk meenemen bij elke stap in de ontwikkeling naar een smart city. Laat privacy het startpunt zijn van innovatie, niet het sluitstuk.”
Petra Claessen, directeur van BTG en TGG, is blij met de aanbevelingen. “We zien enorm veel potentie in de thema’s Smart Cities en Smart Society. We hebben niet voor niets een expertgroep rondom dat onderwerp. Maar het is heel belangrijk dat we niet alleen kijken naar de potentie, maar ook naar de uitdagingen, zoals privacy. Wij denken daar ook graag over mee.”
Dit zijn de aanbevelingen van de Autoriteit Persoonsgegevens voor gemeenten:
- Zorg dat de basisbeginselen van de AVG op orde zijn.
- Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (DPIA), voor smart city-toepassingen is vaak verplicht. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd.
- Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
- Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van jouw gemeente wel echt zo?
- Onderzoek hoe je inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers.
- Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen.
- Gebruik de kennis van burgers bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing.