De Autoriteit Persoonsgegevens (AP) is een onderzoek gestart om te kijken hoe gemeenten in de ontwikkelingsfase van een Smart City omgaan met de privacy van bewoners en bezoekers. De AP begint met het opvragen van informatie bij een specifieke groep gemeenten. In een later stadium wordt een grotere groep gemeenten benaderd.
Wat zijn Smart Cities?
In een Smart City worden technische en datagedreven oplossingen toegepast om de leefbaarheid, kwaliteit en concurrentiekracht van een stad te verbeteren. Bijvoorbeeld door sensoren in te zetten om beter in te kunnen spelen op de parkeerbehoefte in de stad, of op een verstoring van de openbare orde en veiligheid. Of door te zoeken naar efficiëntere manieren om gebouwen te verlichten en te verwarmen.
Ook op Europees niveau wordt nagedacht over manieren om de ontwikkeling en het gebruik van Smart-City toepassingen te stimuleren. In het European Innovation Partnership on Smart Cities and Communities komen verschillende partijen uit de industrie en het bedrijfsleven, steden en onderzoek samen om informatie en best practices uit te wisselen. Er wordt gezocht naar innovatieve oplossingen om stedelijke problemen aan te pakken op het gebied van het milieu, energie en mobiliteit.
Onderzoek
Het doel van het onderzoek is om helder te krijgen hoe binnen Smart City-toepassingen persoonsgegevens van burgers worden verwerkt. Deze verwerkingen moeten voldoen aan de regels van de Algemene verordening gegevensbescherming (AVG). Er moet namelijk een rechtmatige grondslag zijn waarop de persoonsgegevens verwerkt worden. Tevens moeten gemeenten voor zij beginnen met het verwerken van persoonsgegevens in een Smart City een DPIA uitvoeren.
Privacyaspecten
In een Smart City wordt op verschillende manieren data verzameld in de openbare ruimte. De AP geeft op haar website aan dat ‘het digitaal volgen van mensen op (semi-) openbare plekken een inbreuk op de privacy vormt, die slechts bij uitzondering is toegestaan.’
Voor bepaalde verwerkingen van persoonsgegevens moet de gemeente eerst kijken welke privacyrisico’s er spelen en hoe deze zoveel mogelijk beperkt kunnen worden. Dat staat in artikel 35 van de AVG. Er moet dan een Data Protection Impact Assessment (DPIA) uitgevoerd worden. In een DPIA wordt bijvoorbeeld onderzocht welke persoonsgegevens noodzakelijk zijn om te verwerken en of er privacyrisico’s zijn die de organisatie niet kan aanpakken. In dat geval moet de toezichthouder geraadpleegd worden.
De AP heeft een lijst opgesteld van verwerkingen waarbij het uitvoeren van een DPIA verplicht is. Bij een Smart City kan gebruik worden gemaakt van verschillende verwerkingen op die lijst, zoals cameratoezicht in de openbare ruimte, of het verzamelen en uitwisselen van persoonsgegevens door apparaten via het internet-of-things.
Meer informatie:
Waarborg privacy in de ontwikkeling van Smart Cities, Autoriteit Persoonsgegevens
Privacy: de Algemene verordening gegevensbescherming, Kenniscentrum Europa Decentraal
Smart society, Vereniging Nederlandse Gemeenten
Internet of things, Autoriteit Persoonsgegevens
Data Protection Impact Assessment (DPIA), Kenniscentrum Europa Decentraal
