Gevolgen privacywet voor de publieke sector

Gevolgen privacywet voor de publieke sector - Viacryp

Voor de publieke sector en zeker voor gemeenten heeft de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), grote gevolgen. De behoefte naar data-analyse voor maatschappelijke doelen is de afgelopen jaren sterk gegroeid en de meerwaarde om te sturen op uitkomsten van data-analyse wordt steeds zichtbaarder. Welke aanpassingen in de werkwijze vraagt de nieuwe privacywetgeving van gemeenten?

De AVG in het kort

25 mei aanstaande treedt de Algemene Verordening Gegevensbescherming in werking. Deze privacywet is in mei 2016 aangenomen met een overgangsperiode van twee jaar. Ook voor de publieke sector brengt deze nieuwe privacy wet veel veranderingen en verplichtingen. Zo ben je verplicht om elke verwerking met persoonsgegevens vast te leggen in een verwerkingsregister en zijn de rechten van individuen uitgebreid waardoor de privacy van betrokkenen beter is gewaarborgd. Daarnaast is het verwerken van persoonsgegevens alleen toegestaan indien dit gebeurt op basis van een van de wettelijke grondslagen (zoals toestemming van de betrokkenen) en voor een van tevoren bepaald doel.

Worden gemeenten dan nu beperkt in het doen van data-analyse met persoonsgegevens door de AVG?

Gemeenten worden niet zozeer beperkt in het doen van data-analyses, maar de manier waarop data-analyse worden uitgevoerd verandert wel. Naast de nieuwe regels rondom het verwerken van persoonsgegevens krijgt de gemeente wel een grotere verantwoordelijkheid voor mogelijke negatieve gevolgen voor de betrokkenen. Niet meer data gebruiken dan noodzakelijk en het nemen van technische en organisatorische maatregelen om de privacy van de betrokkenen te beschermen zijn hierdoor van groot belang geworden.

Welke maatregelen kan een gemeente nemen om de privacy van burgers te beschermen en te waarborgen?

Een praktijkvoorbeeld: In kaart brengen zorgconsumptie
Een gemeente wil op wijkniveau zicht krijgen in de zorgconsumptie om zo budgetten beter te verdelen en de kwaliteit van zorg te verbeteren. Hiervoor is het nodig om data van de betrokken zorgleveranciers te koppelen met de data van de gemeente. Door gebruik te maken van pseudonimisatie is het mogelijk om de herleidbare persoonsgegevens (zoals het BSN-nummer) om te zetten in een pseudoniem waardoor er data-analyse plaatsvindt met niet direct herleidbare gegevens. Door het pseudonimisatieproces via een externe Trusted Third Party te laten lopen, kan de data over bronnen heen worden gekoppeld en gecombineerd zonder dat er direct herleidbare gegevens worden gedeeld of opgeslagen bij de organisatie die de data-analyse uitvoert. Door deze combinatie van technische en organisatorische maatregelen wordt de mogelijkheid om de gegevens terug te herleiden naar de betrokkenen geminimaliseerd en is de privacy maximaal gewaarborgd.

Dit artikel is tot standgekomen uit een een samenwerking tussen jb Lorenz en Viacryp.