Overheid: let op naleving AVG
Met twee handhavingskwesties in de afgelopen maand ziet het ernaar uit dat de Autoriteit Persoonsgegevens (“AP”) zich ook steeds meer gaat richten op gemeenten.
1. Inleiding
Eind april maakte de AP bekend een boete op te leggen van €600.000 aan de gemeente Enschede wegens het verkeerd gebruik van wifitracking. Hiermee is voor het eerst een boete opgelegd aan een gemeente voor overtreding van de Algemene verordening gegevensbescherming (“AVG”). Een week later meldde de AP te hebben besloten het toezicht te verzwaren op een niet bij naam genoemde gemeente wegens signalen over overtredingen van de AVG. Een kleine drie jaar na de inwerkingtreding van de AVG, na een periode waarin met name het informeren over de rechten en plichten uit de AVG de kerntaak van de AP betrof, lijken de handhavingsactiviteiten door de AP nu enigszins op stoom te komen. In dit blog zullen we de twee genoemde handhavingskwesties bespreken.
2. Onjuist gebruik van wifitracking
Het college van B&W van de gemeente Enschede (“college van B&W”) besloot in 2017 om met metingen via sensoren de drukte in de binnenstad van Enschede te gaan meten. Deze metingen werden door een gespecialiseerd bedrijf in opdracht van de gemeente uitgevoerd. Dit bedrijf was verantwoordelijk voor de installatie en het onderhoud van de sensoren en het verzamelen en valideren van de met de sensoren verzamelde gegevens. Door middel van de sensoren – in totaal 11 stuks – die hingen bij verschillende winkeliers in de binnenstad kon worden gemeten hoeveel mobiele telefoons er rondom deze plekken aanwezig waren. Daarmee was duidelijk hoe druk het was op een bepaald moment, op een bepaalde locatie.
Volgens de AP maakte de manier waarop deze gegevens werden verzameld het echter mogelijk om natuurlijke personen te identificeren. De AP constateerde bijvoorbeeld dat het voor personen die tot deze gegevens toegang hadden mogelijk was om ter plaatse of via een camera waar te nemen welke persoon zich binnen het bereik van de sensor bevond. Zo konden zij vaststellen om welke persoon het ging. Doordat het op verschillende manieren mogelijk was om aan de hand van de gegevens personen te identificeren, konden hiermee mensen worden gevolgd en leefpatronen worden gedestilleerd.
De AP stelt vast dat het college van B&W met de gehanteerde manier van wifitracking persoonsgegevens verwerkte. Het college van B&W mocht dit niet doen zonder een specifieke wettelijke grondslag hiervoor. In zijn zienswijze tegen het voornemen van de AP om een boete op te leggen heeft het college B&W beargumenteerd dat de verwerking van deze persoonsgegevens kon worden gebaseerd op zowel onderdeel e (vervulling van een taak van algemeen belang) als onderdeel f (gerechtvaardigde belang) van artikel 6, lid 1, AVG. Deze argumentatie kon het college van B&W echter niet baten.
In het boetebesluit gaat de AP uitgebreid in op de mogelijke rechtmatigheidsgronden van artikel 6 AVG. Voor het rechtmatig verwerken van persoonsgegevens ten behoeve van een taak van algemeen belang dient sprake te zijn van een specifieke taak. Het voeren van het dagelijks bestuur van de gemeente (art. 160 Gemeentewet) acht de AP een te ruim geformuleerde taak welke niet concreet genoeg is en daarmee niet voldoende voorspelbaar om te kwalificeren als ‘taak van algemeen belang’ op grond waarvan de persoonsgegevens verwerkt mochten worden (vgl. ABRvS 12 mei 2021, ECLI:NL:RVS:2021:1028, r.o. 6). Daarnaast kan het college van B&W als overheidsinstantie geen beroep doen op het gerechtvaardigd belang zoals bedoeld in artikel 6, lid 1, onderdeel f, AVG, nu overheidsinstanties zich slechts kunnen beroepen op de deze grond bij ‘typisch bedrijfsmatige handelingen’ (lees: privaatrechtelijke handelingen). In dit geval was hiervan geen sprake.
Door het ontbreken van een verwerkingsgrondslag als bedoeld in artikel 6, lid 1, AVG oordeelt de AP dan ook dat het college van B&W onrechtmatig persoonsgegevens heeft verwerkt bij de tracking van wifisignalen. Bij het bepalen van het boetebedrag (€600.000) heeft de AP meegewogen dat zij meent dat hier sprake is van een ernstige situatie, mede gelet op de duur van de inbreuk en het feit dat het hier ging op een inbreuk door de overheid.
De gemeente Enschede heeft bezwaar tegen de boete gemaakt. Het is interessant de uitkomst van deze procedure (die mogelijk ook bij de bestuursrechter wordt voortgezet) te volgen. Daarin moet immers blijken of overheden inderdaad zo kunnen worden beperkt in hun mogelijkheden en of de extra hoge boete omdat het gaat om een overheid terecht is. Dat is niet evident.
3. Verzwaard toezicht
De tweede kwestie omtrent een gemeente betreft het verzwaren van toezicht door de AP op deze gemeente wegens zorgen omtrent de bescherming van de (gevoelige) gegevens van haar inwoners. In dit geval is de AP niet direct overgegaan tot oplegging van een boete, maar zal de AP een jaar lang scherper toezicht houden op het AVG-beleid van de betreffende gemeente.
De gemeente in kwestie zou onder meer nog steeds geen privacybeleid hebben vastgesteld en onvoldoende de positionering van de functionaris gegevensbescherming (“FG”) hebben gewaarborgd. De FG heeft als taak om binnen een organisatie toezicht te houden op de toepassing en naleving van de AVG. De organisatie dient er onder meer voor te zorgen dat de FG naar behoren en tijdig wordt betrokken bij privacyaangelegenheden en dat de FG zijn taken onafhankelijk kan vervullen (artikel 37, 38 en 39 AVG). Uit het rapport van de lokale Rekenkamer volgde dat zowel deze onafhankelijkheid als de informatiepositie van de FG onvoldoende waren geborgd. Ondanks de gesprekken die de AP heeft gevoerd met de gemeenteraad, het gemeentebestuur en de burgemeester, zijn de zorgen omtrent de positie van de FG blijven bestaan waarna de AP heeft besloten tot verzwaard toezicht over te gaan. Dit verzwaarde toezicht houdt in dat de gemeente elk kwartaal een voortgangsrapportage aan de AP dient te verstrekken over de maatregelen die worden genomen.
Met dit verzwaard toezicht heeft de AP gekozen voor directe interventie. De AP heeft wel aangegeven nader onderzoek niet uit te sluiten. Hoewel de handhaving van de AP bij deze gemeente nu nog gericht is op zo snel mogelijk zorgen voor een veilige en betrouwbare verwerking van persoonsgegevens van de inwoners van die gemeente, kan op een later moment nader onderzoek dus alsnog leiden tot andere vormen van handhaving.
4. Tot slot
Met de eerste boete voor een gemeente voor overtreding van de AVG en het verzwaard toezicht bij een andere gemeente, ontkomen ook gemeenten niet meer aan de AVG. Na 3 jaar sinds de inwerkintreding van de AVG heeft de AP de handhaving opgepakt. We zagen al boetes aan private partijen, nu zijn de gemeenten aan de beurt. Dit is ons inziens een goede ontwikkeling, nu burgers juist van overheden mogen verwachten dat zij hun privacy waarborgen en volledig conform de AVG handelen. Tegelijk is steeds de vraag of de AP hier niet te streng is voor de betrokken overheden.
Tom Barkhuysen bespreekt jaarlijks de meest relevante bestuursrechtelijke jurisprudentie inzake de AVG in een nieuwe NTB kroniek: Gegevensbescherming: de bestuursrechtelijke aspecten van de AVG. Vindplaats: NTB 2021/107.