De registers waarin overheden verplicht moeten bijhouden hoe en welke persoonsgegevens zij verwerken, zijn slecht toegankelijk. Dit blijkt uit onderzoek van Open State Foundation die deze registers bij alle Nederlandse ministeries, provincies en gemeenten opgevraagd heeft. Een op de vijf overheden publiceert deze registers, bijna tweederde van de registers is nog niet compleet en de registers zien er bij alle overheden anders uit. Open State Foundation pleit voor publieke en gestandaardiseerde registers, zodat inwoners weten hoe en waarom de overheid hun informatie gebruikt.
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In artikel 30 van deze wet staat dat organisaties een register van verwerkingsactiviteiten moeten bijhouden. In dit register staat welke persoonsgegevens verwerkt wordt, waarom deze data verwerkt wordt, met wie deze informatie gedeeld kan worden, wie er verantwoordelijk is, hoe lang de data bewaard zal worden en hoe de beveiliging van de data geregeld is. De functionaris gegevensbescherming is verantwoordelijk voor dit verwerkingsregister.
Register geeft inzicht in verwerking persoonsgegevens
Publieke verwerkingsregisters maken de informatiehuishouding en verwerking van persoonsgegevens door overheden transparant. Daarom heeft Open State Foundation de registers bij alle Nederlandse ministeries, provincies en gemeenten opgevraagd en onderzocht. Uit dit onderzoek blijkt dat maar een op de vijf overheden (89 van de 379) het register gepubliceerd heeft.
Het register is een belangrijk instrument dat overheden kan helpen om de beveiliging van persoonsgegevens op orde te brengen. Tom Kunzler, adjunct-directeur Open State Foundation: ‘Het verwerkingsregister geeft inzicht in de informatiehuishouding van overheden en de verwerking van persoonsgegevens. Wij vinden dat inwoners het recht hebben om te zien hoe en waarvoor overheden hun persoonsgegevens verwerken. Wij roepen daarom alle overheden op dit register publiek beschikbaar te stellen op de eigen website.’
Met behulp van informatieverzoeken zijn machine-verwerkbare registers opgevraagd en er zijn er na deze verzoeken in totaal 246 registers ontvangen. Sommige overheden hebben het verzoek geweigerd en andere overheden gaven aan dat ze nog druk bezig waren met het afronden van het register en het daarom (nog) niet wilden delen.
Elke overheid een ander register
Taken van gemeenten komen redelijk overeen en daardoor zullen gemeenten veelal dezelfde persoonsgegevens om dezelfde redenen verwerken. Dit uit zich echter niet in de verwerkingsregisters, die per overheid sterk verschillen. Het kleinste register bestaat uit slechts 55 verwerkingen en het grootste register uit maar liefst 1.417 verwerkingen. De mediaan voor het aantal verwerkingen is 165. De grootte van de gemeente heeft enige invloed op het aantal verwerkingen. Zo heeft een grote gemeente gemiddeld iets meer dan 300 verwerkingen en een kleine gemeente iets meer dan 200. Het grote verschil in aantal verwerkingen toont aan dat overheden diverse detailniveaus kiezen voor het opstellen van het registers. Hoe kleiner het detailniveau, des te lastiger het echter zal zijn om het register actueel te houden.
Daarnaast mist in 63 procent van de ontvangen registers een of meerdere wettelijk verplichte kolommen, daarmee zijn de registers dus niet compleet. Een grote meerderheid (83.3 procent) van de registers bevat tevens additionele kolommen met informatie die niet verplicht zijn en we zien dat de registers in een veelvoud aan formaten gepubliceerd worden, waaronder .pdf, .xlsx, database en .csv. Een register in .pdf-formaat is technisch niet goed te hergebruiken en vrijwel onleesbaar vanwege het grote aantal kolommen, zoals het register van de gemeente Amersfoort hieronder aantoont.
Noodzaak voor standaardisatie
Overheden baseren zich voor het opstellen van het register in slechts 16 procent van de gevallen op een modelregister, zoals dat van de gemeente Amersfoort, het VNG model, modellen van hun softwareleverancier of hybride versies op basis van een of meerdere modellen. Om verwerkingsregisters een effectief instrument te laten zijn waarmee persoonsgegevens goed beschermd kunnen worden, dient het een beheersbaar register te zijn. Dat betekent een register dat volledig is, aansluit op processen en het juiste detailniveau heeft.
Voor de samenleving die wil weten welke persoonsgegevens overheden verwerken en welke informatie overheden beheren is een openbaar, herbruikbaar en actueel verwerkingsregister van belang. Kunzler: ‘Wij pleiten daarom voor een gestandaardiseerd, machine-verwerkbaar en open verwerkingsregister. Dit maakt het zowel voor overheden als voor de samenleving een bruikbaar register’. Het volledige onderzoek naar de registers van verwerkingen door Maarten Visser is hier te vinden en de ontvangen registers zijn te downloaden via ons dataportaal. De verzamelde en gepubliceerde registers kunnen door inwoners gebruikt worden om inzicht te krijgen in de verwerkingen van hun overheden, maar ook door overheden om te kijken hoe het register er bij andere overheden uitzien ter inspiratie.
Standaardisatie in samenwerking met VNG, PMP en gemeenten
Het onderzoek naar de staat van de verwerkingsregisters heeft geleid tot een samenwerking met de Informatiebeveiligingsdienst van VNG, Privacy Managment Partners (PMP) en diverse gemeenten. Op 28 mei vond over dit onderwerp een bijeenkomst plaats in Utrecht, waaruit bleek dat gemeenten behoefte hebben aan standaardisatie van de registers. Momenteel werkt een werkgroep van gemeenten samen met VNG, PMP en Open State aan een standaard voor het publiceren van verwerkingsregisters op één aggregatieniveau, schrijfwijze en bestandsformaat. Deze standaard wordt naar verwachting in het najaar gepubliceerd als open standaard door de VNG.
Relevante links
- Link naar het onderzoek van Maarten Visser naar de verwerkingsregisters
- Link naar de verzamelde verwerkingsregisters
- Vragen over het onderzoek of de standaardisatie-exercitie? Neem contact op met Tom Kunzler.
