Schrif­te­lijke vragen Data­lekken, drones & privacy

Indiendatum: 18 mrt. 2024
Antwoorddatum: 28 mei 2024

Het raadslid de heer Smit heeft op 18 maart 2024 een brief met daarin tien vragen aan de voorzitter van de gemeenteraad gericht. Overeenkomstig artikel 30 van het reglement van orde voor vergaderingen en andere werkzaamheden van de raad, beantwoordt het college deze vragen als volgt.

Het aantal datalekken is in de afgelopen jaren flink gestegen (RIS317377). Deze week nog ontving de gemeenteraad opnieuw een melding van een datalek (RIS318173). In dit geval belandden gegevens van zo’n 2600 kinderen op straat. Dit terwijl de gemeente steeds meer en gretiger data over haar inwoners verzamelt.

1. Welke richtlijnen worden er gehanteerd voor het classificeren van een datalek als “ernstig/hoog risico” waarbij ook een meldplicht is bij de Autoriteit Persoonsgegevens?

De Procedure meldplicht datalekken 2021 (RIS308686), die in 2021 door het college is vastgesteld, beschrijft de inhoudelijke beoordeling en classificatie van datalekken binnen de gemeentelijke organisatie. In deze procedure zijn de richtlijnen van de Autoriteit Persoonsgegevens voor het bepalen van de ernst van een datalek verwerkt.

2. Wat vindt het college een acceptabele hoeveelheid datalekken?

3. Welke maatregelen zijn de afgelopen jaren genomen naar aanleiding van gemelde datalekken,

zowel op het gebied van educatie als op het gebied van de aanpassing van software Antwoord op vraag 2 en 3: Uiteraard wil het college de persoonsgegevens van inwoners zo goed mogelijk beschermen. Er is geen specifieke richtlijn bepaald voor een acceptabel hoeveelheid datalekken. Datalekken verschillen in omvang en impact. Ook kan een groter aantal gemelde datalekken betekenen dat de bewustwording bij medewerkers over het melden van datalekken is toegenomen. Tegelijkertijd worden er meerdere activiteiten uitgevoerd om het aantal datalekken zoveel mogelijk te beperken. Op gebied van educatie worden verschillende acties ondernomen waarin de basisprincipes van de Algemene Verordening Gegevensbescherming (AVG) worden uitgelegd. Bewustwording wordt ook gecreëerd door het uitvoeren van privacy-risicoanalyses voor gemeentelijke processen en nieuwe projecten. Er wordt ook gekeken naar trends in het type datalekken en de oorzaak van de datalekken om, waar mogelijk, preventieve maatregelen te nemen, zoals het aanpassen van processen.

Persoonsgegevens
Op de website van de gemeente Den Haag is een openbaar dataregister te vinden, maar dit is onvolledig en het is moeilijk tot onmogelijk om hierin terug te vinden welke gegevens van inwoners worden verzameld.

4. Kan het college een overzicht bieden van waar er welke gegevens worden verzameld van inwoners in de openbare ruimte? Bijvoorbeeld door camera’s, sensoren of op andere manieren? Zo nee, waarom niet?

5. Kan een dergelijk (actueel) overzicht ook openbaar worden geraadpleegd door inwoners? Zo nee, waarom niet?
Antwoord op vraag 4 en 5:
De gemeente heeft een verwerkingsregister waarin alle verwerkingen van persoonsgegevens zijn opgenomen en werkt hier continu aan. Daarnaast heeft de gemeente ook een openbaar register van verwerkingen. Dit register is tijdelijk in onderhoud en zal in 2024, na afronding van het onderhoud,
gepubliceerd worden. Aanvullend heeft de gemeente een online kaart met sensoren gepubliceerd. Momenteel worden alleen de camera’s en sensoren van het Living Lab Scheveningen op deze kaart weergegeven. Vanaf het einde van het jaar wordt gestart met uitbreiding van deze kaart met de gemeentelijke camera’s en sensoren op andere plekken in Den Haag, zodat deze ook inzichtelijk zijn voor inwoners. Daarnaast is ook een online kaart met alle cameratoezichtsgebieden voor handhaving van de openbare orde beschikbaar. Dit zijn de camera’s die de burgemeester door de politie laat plaatsen en uitkijken op grond van artikel 151c gemeentewet.

6. Is het college het met de Partij voor de Dieren eens dat, zeker in het licht van de datalekken, er terughoudend moet worden omgegaan met het verzamelen en verwerken van persoonsgegevens, en dat het beschermen van de gegevens van inwoners soms zwaarder moet wegen dan (relatief
kleine) winst op het gebied van efficiëntie, snelheid of gemak? Zo nee, waarom niet?

7. Kan het college aangeven hoe de afweging wordt gemaakt of het noodzakelijk of proportioneel is om gegevens van inwoners te verzamelen ten opzichte van het doel dat wordt bereikt? Zo nee, waarom niet?
Antwoord op vraag 6 en 7: De gemeente gaat zorgvuldig om met het verzamelen en verwerken van persoonsgegevens. In alle gevallen waarvoor de gemeente persoonsgegevens verzamelt, wordt rekening gehouden met de inbreuk op de privacy van onze inwoners. Voor elke risicovolle verwerking van persoonsgegevens stelt de gemeente een Data Protection Impact Assessments op. Daarin wordt per geval de proportionaliteit en subsidiariteit beoordeeld. In deze analyses wordt gekeken naar de inbreuk op de privacy van de inwoners en manieren om de inbreuk zoveel mogelijk te beperken door bijvoorbeeld dataminimalisatie, proceswijzigingen en technieken waarmee persoonsgegevens beschermd kunnen worden.

8. Kan het college aangeven welke doelstelling zij heeft voor de digitale onafhankelijkheid van Den Haag, bijvoorbeeld het gebruik van software van grote bedrijven zoals Microsoft?

De gemeente neemt deel aan rijksbrede aanbestedingen voor contracten met grote ICT-leveranciers. In die contracten worden maatregelen genomen om te voldoen aan met wet -en regelgeving. Bij de verwerving en inrichting van dergelijke systemen richt de gemeente zich zo veel mogelijk op open standaarden en marktstandaarden. Dat maakt dat het vervangen van software (ook van grote leveranciers) eenvoudiger wordt.

Drones
De gemeente Den Haag heeft verschillende pilots lopen met betrekking tot het gebruik van drones, zowel door als binnen de gemeente. Bijvoorbeeld bij bouwinspecties.

9. Kan het college aangeven op welke manier wordt voldaan aan het recht van mensen om te weten wanneer ze gefilmd of anderszins opgenomen worden?
De gemeente Den Haag is transparant richting de inwoners over de inzet van drones voor bouwinspecties. Ook worden inwoners geïnformeerd door middel van social media-berichten en nieuwsberichten. Ten tijde van het vliegen met de drones worden er op locatie flyers uitgedeeld en worden er borden op straat geplaatst. Ook krijgen de inwoners de mogelijkheid om vragen te stellen. Zodra er opnieuw wordt gevlogen met drones wordt de specifieke privacyverklaring voor vliegen met drones teruggeplaatst op www.denhaag.nl. Daarin wordt uitgelegd op welke manier en voor welk doel de drones worden ingezet. De privacyverklaring is nu verwijderd, omdat er momenteel niet gevlogen wordt. Ten tijde van de eerdere vluchten was deze wel geplaatst op de website.

10. In het artikel staat: “De Haagse droneproef heeft de privacy toets doorstaan, al is de eerstvolgende vlucht uitgesteld omdat er nieuwe vragen zijn gerezen.” Welke vragen zijn er gerezen en welke stappen heeft het college ondernomen om deze weg te nemen of een einde te maken aan de proef?

Voor de proef met drones voor bouwinspecties is een Data Protection Impact Assessment (DPIA) opgesteld met daarin maatregelen om de privacy van de inwoners te beschermen. Er werd voldaan aan de voorwaarden om te mogen vliegen. De proef is naar aanleiding van het persbericht tijdelijk gestopt om nog eens kritisch te kijken of er nog aanvullende verbeterpunten mogelijk waren. Hierbij is extra aandacht besteed aan het beveiligen van de gegevens die de drone verzamelt. Deze aanvullende verbeterpunten zijn doorgevoerd en de verwachting is dat de gemeente in mei weer gaat vliegen met drones.

Het college van burgemeester en wethouders,