Algoritmeregister nog onvoldoende

Overheden en organisaties doen het volgens de AP niet goed met registratie van de algoritme- en AI-systemen. Sinds begin 2023 zijn 1.000 algoritmes opgenomen in het Algoritmeregister van de Nederlandse overheid. Gemeente Amsterdam en de Douane lopen voorop. Echter, meer dan de helft van de gemeenten heeft nog geen algoritmes geregistreerd, van de ZBO’s heeft ruim driekwart niets geregistreerd.

Registraties zijn vaak niet volledig: bij bijna alle geregistreerde algoritmes ontbreekt een grondrechtenbeoordeling. Die is maar in 5 procent van de gevallen gedaan. Om overheden en bedrijven op weg te helpen publiceert de AP 8 handvatten in het document Aan de slag met algoritmeregistratie.

AVG belemmert mogelijkheden om burgers te informeren over recht op toeslagen

Het destijds veroordeelde ‘doe’s normaal’ van Mark Rutte schiet me bij een groeiend deel van de politiek te binnen, maar dan serieus. En zeker met de AVG, de 50.000 woorden lange verordening waarmee de EU vanaf 2018 dacht wereldkampioen privacy te worden. Nu dit weer:

Verschillende overheden mogen geen persoonsgegevens delen om burgers automatisch inkomensregelingen toe te kennen. Dat schrijft Judith Uitermark, demissionair minister van Binnenlandse Zaken, in een brief van 7 juli 2025 aan de Tweede Kamer. Het is een antwoord op een motie van Kamerlid Sandra Palmen (NSC) van oktober 2024.

In de AVG is geen afdoende grondslag te vinden volgens de minister. De simpele burger zegt wellicht dat er een “gerechtvaardigd” belang is, maar zo eenvoudig doen we dat niet. Het delen van persoonsgegevens moet wel voortkomen uit een ‘wettelijke verplichting’ van het bestuursorgaan (art. 6, lid 1, sub c AVG) of een taak van algemeen belang die het moet uitvoeren (art. 6, lid 1, sub e AVG). Ook andere wetten bieden geen soelaas zoals artikel 20 Grondwet (bestaanszekerheid) of artikel 2:1 van de Awb (plicht van bestuursorganen om burgers te helpen).

Misschien kan de Staatscommissie Rechtsstaat met een voorstel komen om de wet aan te passen, maar dat heeft nog de nodige beraadslagingen en besluiten voor de boeg. De Staatscommissie beveelt aan om in een algemene regeling een grondslag op te nemen voor gegevensverwerking bij proactief overheidshandelen in het belang van de burger.

Dubbele pet Brabantse FG’s

Een Functionaris Gegevensbescherming (FG) bij organisaties dient een onafhankelijke functie te zijn, althans tenminste in theorie. Immers, de FG houdt toezicht op het netjes verwerken van persoonsgegevens, oftewel het voldoen aan de AVG.

In minstens veertien Brabantse gemeenten is het privacytoezicht niet op orde, zo blijkt uit onderzoek van Woeste Grond. De gemeente Drimmelen stelt het al een jaar zonder een FG – en de kosten daarvan. In veel andere gemeenten wordt de functie gecombineerd met andere functie:.

“In dertien Brabantse gemeenten heeft de FG namelijk ook een andere functie, zoals projectleider, juridisch medewerker of concerncontroller. Dat betekent dat de FG niet geheel onafhankelijk werkt, omdat hij ook onderdeel uitmaakt van de organisatie waarop hij toezicht zou moeten houden.

Nog problematischer is het als de FG zijn functie combineert met die van privacy officer (PO), Chief Information Security Officer (CISO) of gegevensconsulent, wat in zeven gemeenten gebeurt: daarbij bestaat namelijk een serieus risico op belangenverstrengeling.”

De kroon spant de A2 Samenwerking (gemeenten Cranendonck, Heeze-Leende en Valkenswaard) waar de FG dezelfde persoon is als de privacy officer en de Chief Information Security Officer.

FG Almere wel kritisch

Zo’n zelfstandige FG kan immers knap lastig zijn. Dat ervaart de gemeente Almere, zo bericht 1Almere. De vastgestelde euvels:

• Verschillende afdelingen houden het verwerkingsregister niet goed bij;
• Bij de meeste afdelingen ontbreekt in- en overzicht van gebruik van persoonsgegevens door externe partijen;
• De gemeente kan niet verantwoorden wie er inzicht heeft gehad in persoonsgegevens;
• De gemeente loopt achter bij het uitvoeren van DPIA’s.

De oorzaak: gebrek aan mensen en middelen. In 2027 moet het op orde zijn. De FG spreekt in september met de gemeenteraad van Almere.

Lucratieve data-export naar China

“Mag ik ff vanguh?”Niet minder dan 530 miljoen euro incasseren wij als Europese Unie met een boete voor ByteDance – eigenaar van TikTok - van 530 miljoen euro voor het verwerken van persoonsgegevens van burgers in de Europese Ruimte (EER) in China. De privacywaarborgen schoten tekort volgens de Ierse toezichthouder DPC, die geholpen werd door Europese collega’s zoals de Autoriteit Persoonsgegevens (AP). Tiktok had een mooie smoes:

“TikTok hield staande dat de doorgifte van persoonsgegevens van EER-gebruikers naar China uitsluitend plaatsvond door middel van toegang op afstand en dat de gegevens van EER-gebruikers niet werden opgeslagen op servers in China.”

*) Beeld: Photo by Matthew Henry on Unsplash