Volgens actualiteitenprogramma Argos nemen veel gemeenten privacy pas serieus als een datalek in de media komt. Slechts één zoekopdracht in Google was voldoende om 20.000 gemeentelijke documenten met gevoelige informatie te vinden.

Op de website van Hellevoetsluis waren met gemak gegevens van inwoners te vinden, waaronder adressen en zelfs hun burgerservicenummers, waarmee fraudeurs op hun naam een bankrekening zouden kunnen openen. In Rotterdam lekten de persoonsgegevens van een groep jongeren die door de politie in de gaten werd gehouden. En in Altena kwamen kopieën van identiteitskaarten en andere privacygevoelige gegevens bij het grofvuil terecht. De Autoriteit Persoonsgegevens ontvangt jaarlijks zo’n 20.000 van dit soort meldingen, maar doet er verder weinig mee. Voor worden privacyincidenten als ‘domme pech’ betiteld, maar ambtenaren verklaarden tegenover Argos dat privacy vaak helemaal niet serieus wordt genomen door gemeenten.

Functionaris gegevensbescherming
Sinds een jaar of twee behoort de Algemene Verordening Persoonsgegevens gehandhaafd te worden. Die verplicht elke organisatie, ook overheidsorganisaties, om persoonsgegevens correct te verwerken en inzichtelijk te maken wat er precies wordt verwerkt en waarom. Als gegevens in verkeerde handen terecht komen, is de organisatie verplicht dit te melden bij de Autoriteit Persoonsgegevens. Bedrijven die veel persoonlijke gegevens verwerken zijn verplicht om een functionaris gegevensbescherming (FG) aan te stellen. Overheidsinstanties moeten die taak bij een gespecialiseerd ambtenaar neerleggen, maar in de praktijk is de FG vaak iemand die het er ‘even bijdoet’. Het is dan geen volledig onafhankelijk functionaris, zoals de AVG voorschrijft, en ook vaak iemand die te laag in de organisatie zit om invloed op het bestuur te kunnen uitoefenen. Ook wordt lang niet bij elke gemeente het verplichte halfjaarlijkse privacyrapport samengesteld.

Tegenwerking
Uit het in opdracht van Argos door masterstudenten journalistiek uitgevoerde onderzoek blijkt dat 84 van de 110 onderzochte gemeenten niet voldoen aan de AVG-eisen. Ruim veertig procent van de geïnterviewde toezichthouders zegt dat hun gemeente onvoldoende maatregelen neemt om de persoonsgegevens van de burgers te beschermen. En twintig procent zegt zelfs actief te worden tegengewerkt door de eigen organisatie. Sommigen zeggen te weinig kennis te hebben over de AVG om goed toezicht te kunnen houden. Andere klagen dat zij niet onafhankelijk kunnen functioneren. En er zijn ambtenaren die aangeven meer steun van de Autoriteit Persoonsgegevens te hadden verwacht.
Alle 355 gemeenten zijn benaderd voor het onderzoek. Slechts 99 hebben de vragenlijst ingevuld. Verder hebben 49 diepte-interviews met functionarissen gegevensbescherming plaatsgevonden. Minder dan de helft van hen is tevreden over hoe hun gemeente omgaat met privacy van burgers.