De Autoriteit Persoonsgegevens (AP) publiceert aanbevelingen voor de ontwikkeling van zogenoemde smart city-toepassingen. De aanbevelingen zijn bedoeld voor gemeenten die met slimme sensoren en meetapparatuur data in de openbare ruimte verzamelen of dat van plan zijn.

De adviezen zijn volgens de AP nodig omdat gemeenten niet altijd voldoende stilstaan bij de privacywetgeving, terwijl dit juist bij smart city-toepassingen waarbij persoonsgegevens van de burgers verwerkt worden essentieel is. Slecht ontwikkelde toepassingen kunnen namelijk ten koste gaan van de vrijheid van inwoners en bezoekers van die gemeente. Bijvoorbeeld wanneer burgers in de openbare ruimte worden gevolgd op een manier die niet nodig of toegestaan is.
Een gemeente die technologie inzet, kan daarbij persoonsgegevens verwerken. Met sensoren of meetapparatuur worden bijvoorbeeld verkeersstromen en bezoekersaantallen gemeten of uitgaansgebieden gemonitord om de mobiliteit en veiligheid te verbeteren. De privacywet – de Algemene verordening gegevensbescherming (AVG) – beschermt mensen tegen onnodig of ongeoorloofd verzamelen of gebruiken van hun persoonsgegevens in de openbare ruimte.

Ongedwongen over straat
Monique Verdier, vicevoorzitter AP: “Het gevaar bestaat dat we naar een surveillancemaatschappij gaan waar je niet meer ongedwongen over straat kunt lopen. De inzet van technologie kan gemeenten weliswaar meer inzicht geven in het gebruik van de openbare ruimte. Maar dat mag niet zonder stil te staan bij de prijs die de inwoners en bezoekers van die gemeente hiervoor betalen. Hoe verhoudt het verzamelen van hun gegevens in de openbare ruimte zich tot hun vrijheid? Wie kan er allemaal bij die gegevens en waar mogen die voor worden gebruikt? Welke informatie mag aan elkaar worden gekoppeld? De technische mogelijkheden zijn oneindig, maar aan wat ethisch en juridisch toelaatbaar is zit een grens.”

Grote verschillen
De AP heeft gekeken naar de mate waarin gemeenten gebruik maken van smart city-toepassingen en hoe ze bij de ontwikkeling en invoering daarvan de persoonsgegevens van inwoners en bezoekers beschermen. De verschillen bij de inzet van smart city-toepassingen zijn groot. Sommige gemeenten lopen voorop in de ontwikkeling van smart city-toepassingen en zetten hiervoor nieuwe technologieën in. Maar er zijn ook gemeenten die geen of heel weinig smart city-toepassingen gebruiken. Dit verschil wordt onder meer bepaald door de omvang van de gemeente en de vraagstukken die er leven.

Gemeenteraad
Ook de gemeenteraden moeten scherp zijn op digitalisering en de inzet van smart city-toepassingen. Zij moeten voldoende kennis hebben en informatie over smart city-toepassingen krijgen om hun controlerende taak goed uit te kunnen voeren. Gemeenteraadsleden kunnen bijvoorbeeld bij hun interne privacytoezichthouder – de Functionaris gegevensbescherming (FG) – vragen hoe de privacy geborgd is en welke risico’s er zijn voor mensen die in hun gemeente wonen, werken of er op bezoek zijn.

Privacyvriendelijke smart city-toepassingen
Nederland beschikt over veel technologische kennis en innovatiekracht. Gemeenten kunnen dit goed benutten voor het ontwikkelen van privacyvriendelijke smart city-toepassingen. Tenminste, als die technologie wel echt nodig is om een probleem in de openbare ruimte aan te kunnen pakken. Want waar een probleem zonder inzet van die technologie en data kan worden opgelost, moet een gemeente deze vaak minder ingrijpende optie onderzoeken.

Problemen oplossen
Monique Verdier: “Technologie kan ons helpen om onze problemen op te lossen en de stad leefbaarder en veiliger te maken. Maar we moeten het wel zo inregelen dat ze niet zelf allerlei nieuwe problemen en onveiligheidsgevoelens veroorzaken. Bestuurders en ambtenaren moeten de rechten en vrijheden van burgers uiterst serieus nemen. Dat betekent dat zij hun privacy ook daadwerkelijk meenemen bij elke stap in de ontwikkeling naar een smart city. Laat privacy het startpunt zijn van innovatie, niet het sluitstuk.”
Om de privacy van inwoners te borgen, wijst de AP onder andere op de volgende aspecten bij de ontwikkeling van smart city-toepassingen:

• Zorg dat de basisbeginselen van de AVG op orde zijn.
• Het opstellen van een risicoanalyse, een zogenoemde data protection impact assessment (DPIA), voor smart city-toepassingen is vaak verplicht. Een DPIA helpt om te beoordelen of de gegevensverwerking rechtmatig is en welke mogelijke risico’s er zijn. Overweeg om de DPIA te publiceren, burgers weten dan hoe hun privacy is geborgd.
• Maak beleid voor de inzet van smart city-toepassingen en vertaal dit naar praktische handvatten voor uitvoering.
• Wees bij aanschaf van producten en diensten kritisch of deze aan de AVG voldoen. Een leverancier kan dat beweren, maar is het in de context van jouw gemeente wel echt zo?
• Onderzoek hoe je als gemeente inzicht krijgt in de sensoren die door derden in de openbare ruimte worden geplaatst en deel deze informatie met burgers.
• Zorg voor voldoende mensen en middelen voor het organiseren van privacy binnen de gemeente. Let er vooral op dat de interne privacytoezichthouder, de FG, zijn of haar rol goed kan uitoefenen.
• Gebruik de kennis van burgers bij het in kaart brengen van de risico’s. Zij kennen hun eigen leefomgeving het best en kunnen meedenken over de gevolgen van een technische toepassing.

De aanbevelingen zijn tot stand gekomen met dank aan diverse deskundigen en onafhankelijke reflecties van Waag, imec-CiTiP/KU Leuven en imec-SMIT/Vrije Universiteit Brussel (SPECTRE Project/Smart-city Privacy: Enhancing Collaborative Transparency in the Regulatory Ecosystem).