De Autoriteit Persoonsgegevens (AP) publiceert aanbevelingen voor de ontwikkeling van zogenoemde smart city-toepassingen. De aanbevelingen zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn.
In mei en juni schreven we al uitgebreid over de boete die de Autoriteit Persoonsgegevens oplegde aan de gemeente Enschede. Kern van de zaak was dat AP de manier van passanten tellen ziet als volgen van personen (wifi-tracking). De MOA en ook City Traffic dat de tellingen uitvoert, zijn het niet met die stelling eens.
Nu komt de AP met een nader advies aan de gemeenten. Die zijn volgens de AP nodig omdat gemeenten niet voldoende stilstaan bij de privacywetgeving terwijl dat juist bij smart city-toepassingen, waarbij persoonsgegevens van de burgers verwerkt worden, essentieel is. Slecht ontwikkelde toepassingen kunnen namelijk ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente, zegt de AP. Bijvoorbeeld wanneer burgers in de openbare ruimte worden gevolgd op een manier die niet nodig is of niet is toegestaan.
Een gemeente die technologie inzet, kan daarbij persoonsgegevens verwerken. Met sensoren of meetapparatuur worden bijvoorbeeld verkeersstromen en bezoekersaantallen gemeten of uitgaansgebieden gemonitord om de mobiliteit en veiligheid te verbeteren.
De AP heeft gekeken naar de mate waarin gemeenten gebruik maken van smart city-toepassingen en hoe ze bij de ontwikkeling en invoering daarvan de persoonsgegevens van inwoners en bezoekers beschermen. Sommige gemeenten lopen voorop in de ontwikkeling van smart city-toepassingen en zetten hiervoor nieuwe technologieën in. Maar er zijn ook gemeenten die geen of heel weinig smart city-toepassingen gebruiken. Dit verschil wordt onder meer bepaald door de omvang van de gemeente en de vraagstukken die er leven.
Aanbevelingen
Om de privacy van inwoners te borgen, wijst de AP onder andere op de volgende aspecten bij de ontwikkeling van smart city-toepassingen:
- Zorg dat de basisbeginselen van de AVG op orde zijn.
- Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (DPIA), voor smart city-toepassingen is vaak verplicht. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd.
- Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
- Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van uw gemeente wel echt zo?
- Onderzoek hoe u als gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers.
- Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen.
- Gebruik de kennis van burgers bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing.