Update juli 2021
In juli 2021 heeft de AP aanbevelingen voor smart cities gepubliceerd.

Update augustus 2020
In augustus 2020 heeft de AP al wat eerste uitkomsten van het onderzoek gedeeld, die interessant zijn voor gemeenten. Door de coronacrisis rondt de AP het onderzoek later af dan gepland.

Wat zijn smart cities?

Smart cities zijn stedelijke gebieden die met technologie oplossingen vinden voor bijvoorbeeld mobiliteit, energie, veiligheid of huisvesting. Gemeenten zoeken in toenemende mate naar datagedreven oplossingen.

Zij verzamelen data of combineren data op nieuwe manieren en daarbij gaat het vaak om verwerking van persoonsgegevens. Gemeenten laten zich ondersteunen door technologieën zoals machine learning. Zij willen onder meer:

• bewoners bewegen tot betere keuzes,
• de openbare ruimte optimaliseren en
• de openbare ruimte inrichten volgens inzichten uit de verzamelde data.

Privacy centraal bij smart cities

Het gebruik van data in de openbare ruimte raakt iedereen die zich in die openbare ruimte begeeft. Als er bijvoorbeeld sprake is van een datalek, gaat het direct ook om persoonsgegevens van heel veel burgers. Dit maakt een zorgvuldige afweging over het verzamelen en gebruiken van persoonsgegevens van groot belang.

Aleid Wolfsen, voorzitter van de AP: “Het is een groot goed om je in het openbaar vrij te kunnen bewegen en je onbespied te weten. Het digitaal volgen van mensen op (semi-) openbare plekken is een inbreuk op de privacy die slechts bij uitzondering is toegestaan. Het moet steeds zijn gebaseerd op wetgeving die voldoende duidelijk en nauwkeurig is en waarvan de toepassing steeds voldoende voorspelbaar is."

"De AP juicht innovatief gebruik van data voor meerwaarde in de openbare ruimte toe, mits de privacy van burgers voldoende is gewaarborgd. De smart city-toepassingen moeten namelijk voldoen aan de eisen van de AVG. Het waarborgen van privacy in de ontwikkeling van smart city-toepassingen zorgt voor duurzame oplossingen met maatschappelijke meerwaarde die binnen de grenzen van de privacywet vallen”, aldus Wolfsen.

DPIA bij smart cities

Voordat gemeenten smart city-toepassingen ontwikkelen, moeten zij in kaart brengen welke privacyrisico’s daarbij komen kijken. Deze moeten zij beheersbaar maken vóór de start van de verwerking van de persoonsgegevens. Dit kan met een specifiek instrument, een data protection impact assessment (DPIA).

Als de gemeente geen maatregelen kan treffen om de privacyrisico’s af te dekken en er hoge restrisico’s blijven bestaan, moet zij de verwerking in een voorafgaande raadpleging aan de AP voorleggen. De AP benadrukt deze verplichting bij smart city-toepassingen.

Het onderzoek naar smart cities

De AP vraagt in de eerste instantie de DPIA’s van een specifieke groep gemeenten op. In een later stadium zal de AP bij een bredere groep gemeenten DPIA’s van smart city-toepassingen opvragen.

De AP wil met het verkennend onderzoek inzicht krijgen in de verwerkingen van persoonsgegevens die binnen deze smart cities worden ontwikkeld en toegepast.