Privacycheck voor GIS-analyses

De AVG raakt zoveel informatieverwerking dat niemand de werkelijke impact kon voorzien. Nu het stof van de invoering van de AVG is neergedaald, is het tijd om breder te gaan kijken: hoe om te gaan met privacy en toch in GIS gebruik kunnen maken van nuttige analyses?

Het basisprincipe van de AVG is dat informatie over personen niet zonder uitdrukkelijke toestemming herleidbaar mag zijn op een natuurlijk persoon. Het heeft dus niets te maken met de privacy van niet-natuurlijke personen zoals bedrijven en organisaties (ZZP’ers uitgezonderd).

In dit blog loop ik vijf registraties langs waar privacy een rol speelt in GIS-toepassingen en welke maatregelen zijn te nemen om te voorkomen dat dit tot vervelende situaties leidt of zelfs tot boetes.

De belangrijkste onderwerpen waar verwerking van persoonsgegevens speelt in de GIS-wereld zijn:

  1. Basisregistratie Kadaster (BRK) .
  2. Wet Onroerende Zaken (WOZ)
  3. Handelsregister (KvK of HR)
  4. Basisregistratie Personen (BRP of GBA)
  5. Meldingen Openbare Ruimte (MOR)

BRK

Hoewel BRK een openbaar register is, is het niet toegestaan om eigendommen van grote groepen eigenaren te openbaren. Bij een aantal processen is het echt nodig de eigenaar van een kadastraal perceel te weten om die te kunnen aanschrijven of te benaderen. Bij een groot aantal andere processen in de gemeente is het echter niet nodig exact te weten wie de eigenaar is. Bijvoorbeeld bij processen waar het voldoende is te weten waar de bevoegdheid van de gemeente ophoudt. Het is voor die processen niet nodig om de complete BRK met alle eigenaren te hebben. Dat was tot nu toe wel gebruikelijk in de gemeente omdat die gegevens er toch waren maar voor veel processen is de naam van de eigenaar niet van belang. Dat het wel of niet van de gemeente is, is voldoende. Soms zijn ook nog eigendommen van de woningcorporatie, waterschap of provincie ook nog nuttig maar ook dan is het nog steeds niet nodig de naam van de alle particuliere eigenaren te weten. Een kaart met onderscheid tussen particulier en publiekrechtelijk bezit is voor deze toepassingen voldoende. Dit is dan niet herleidbaar tot een persoon en daarmee anoniem en dus eenvoudig te delen en geheel AVG-proof.

Soms is zelfs alleen de DKK (Digitale Kadastrale Kaart) voldoende dan weet je waar de grens loopt, meer niet. Het Kadaster deelt dit dan ook als open data. Soms kan het resultaat van een analyse voldoende zijn. Bijvoorbeeld een kaart waarop te zien welke percelen betrokken zijn bij een WOZ-object als controle op de kwaliteit van de WOZ. Zeker als de gemeente de belastingen heeft uitbesteed aan een samenwerkingsverband is een dergelijke analyse nuttig voor de controle op volledigheid. Dit zijn allemaal voorbeelden waarbij de BRK gebruikt is om een AVG-proof kaart te maken die prima meerdere taken van de gemeente kan ondersteunen. Je houdt op die manier een beperkte groep gebruikers over die echt de daadwerkelijke eigenaar nodig heeft voor haar proces. Door deze “gevoelige”  data alleen te delen met deze beperkte groep houd je het gebruik beperkt en daarmee de risico op privacy schending laag.

WOZ

In de WOZ worden naast deelobjecten, waar de WOZ-objecten uit bestaan, zoals carport, dakkapel, grond, ook de eigenaren en gebruikers geregistreerd. Dat laatste is privacygevoelig, het is immers terug te voeren op een natuurlijk persoon.

In de WOZ staat verder het daadwerkelijk gebruik van een verblijfsobject en dat is vaak veel nuttiger dan het verleende gebruik zoals dat in de BAG is geregistreerd. Ook dat is niet privacy gevoelig omdat het over het object gaat. Het is dan tenminste duidelijk of het bijvoorbeeld een hotel, café of een hobbyruimte is. Naast het huidig gebruik is ook de typering van het huis nuttig voor andere processen zoals vrijstaande woning, hoekhuis, appartement, tussenwoning etc een nuttig gegeven. Voor de BAG en de BGT is het nuttig ook de deelobjecten van de WOZ te kunnen zien en te vertalen naar daadwerkelijke topografische objecten zoals carport, schuur, bijgebouw, tuinhuis etc. Door dit soort informatie te koppelen aan de BAG en de BGT-registratie worden ze alle drie beter afgestemd op de werkelijkheid. Op die manier zijn we beter in staat een betrouwbare digitale tweeling van de werkelijkheid op te bouwen. Ook dit is geheel AVG-proof om dat we niet willen weten wie de eigenaar of de gebruiker is maar alleen de informatie over de deelobjecten willen weten. Probleem hierbij is dat er vaak geen afspraken zijn gemaakt tussen het samenwerkingsverband en de gemeente over uitwisseling van gegevens. De taak is wel uitbesteed maar zonder duidelijke afspraken over de uitwisseling van object en subject-gegevens. De LV WOZ biedt hierin ook geen uitkomst omdat die geen informatie over de deelobjecten bevat dus geen toegevoegde waarde heeft voor de meeste gemeentelijke processen. De gemeente zal dus individueel met de uitvoerder van de WOZ afspraken moeten maken om de objectgegevens regelmatig (of beter via webservices) te kunnen ontvangen. Geheel ongevoelig voor de AVG maar wel vaak een probleem om geregeld te krijgen. Door te focussen op puur de object en deelobject gegevens is meer mogelijk voor veel gemeentelijke processen.

HR en KvK

In het Handelsregister is de vestigingslocatie en de maatschappelijke activiteit vastgelegd van alle bedrijvigheid binnen de gemeente. Daarnaast legt de Kamer van Koophandel ook de contactpersonen en de eigenaren vast alsmede de bevoegdheden.

Het is voor veel doeleinden in de gemeente erg handig om te weten waar bepaalde bedrijven gevestigd zijn. Wat de schrijfwijze is van de handelsnaam, wat voor soort bedrijf er gevestigd zijn op een bepaald adres, hoeveel werknemers of mensen potentieel daar verblijven etc. Ook belangrijk is het te weten waar de risicovolle bedrijven zoals crèches, zorgtehuizen, ziekenhuizen zijn. Het is voor de meeste gebruikers niet nodig te weten wie de contactpersoon is of wat de tekenbevoegdheden zijn van de eigenaar van het bedrijf. Als ze dat willen weten gaan ze veelal toch naar de oorspronkelijke (legitieme) bron en is de Geo-viewer niet de meest logische ingang. In de dataservice vestiging zit helaas ook de gemachtigden waardoor het een privacy gevoelige bron is. Door wel de gegevens op te vragen maar vervolgens alleen de vestigings gegevens te gebruiken in de interne distributie is het risico op schending aanzienlijk kleiner te maken.

BRP

De meest lastige is natuurlijk de GBA of Basisregistratie personen, omdat daar echt alles in staat en met name het BSN-nummer aanleiding is voor privacy risico’s. Bij de BRP kunnen we echter ook vaak toe met anoniem gemaakte gegevens. Dat kan op de manier zoals het CBS dat doet met buurten en wijken, maar kan ook met zescijferige postcode (bv 1234AA) of zelfs via een gelijkmatig grid van zeshoeken. Bij een grid van zeshoekige cellen kan je de cellen zo groot maken dat er nooit minder dan een bepaald aantal adressen in zitten. Door zeker te weten dat er een minimaal aantal adressen in het vlak liggen kan je het ook niet terugbrengen naar een persoon. Gek genoeg is nergens een duidelijke norm te vinden met hoeveel adressen je het moet terugbrengen. Een veel gebruikte norm is 7 adressen. Dus als er in het gebied 7 adressen voorkomen is het niet meer terug te brengen tot een persoon en dus anoniem en dus AVG-proof.

De complicerende factor hierbij is dat het ook niet mogelijk moet zijn door het combineren van verschillende bronnen. Dus als in de ene analyse alle “inbraken” en in de andere alle “alleenstaanden” staan en door deze twee te combineren er maar 1 adres uitkomt die in allebei de analyses zit dan zou je kunnen concluderen welk adres het dan om gaat en dus bij 1 persoon. Een methode om dit te voorkomen is om per gemeente een vaste indeling van zeshoeken te maken waarbij de grootte afhangt van het aantal adressen dat er invalt, dus met cellen in de bebouwde kom een stuk kleiner dan in het buitengebied. Door die indeling stabiel te houden over de verschillende analyses en thema’s kan je nooit de conclusie trekken over welk adres het gaat. Het zijn immers altijd minimaal X adressen. Waarbij X een vast aantal is, liefst gelijk of groter dan 7. Het gevolg van deze methode is dat je wel redelijk duidelijk kan aangeven  waar in de gemeente de concentratie ouderen of leerplichtigen of peuters wonen. En dat is weer nuttig voor veel andere beleidsterreinen zoals Verkeer, Speelplaatsen, Beheer & Onderhoud. Zo zou je kunnen gaan prioriteren welke “losse stoeptegel” eerst gerepareerd moet worden op basis van de aantallen ouderen of gehandicapten in de nabijheid van de stoeptegel. Het doet er niet hoe die mensen heten of wat we nog meer van ze weten, enkel het feit dat in de buurt van deze melding er een hogere dichtheid is van mensen, die een hoger risico lopen, kan voor de afdeling Beheer & Onderhoud voldoende informatie zijn om deze melding eerder op te pakken. Hetzelfde geldt voor de leefbaarheid of de keuze van plaatsing van nieuwe speeltoestellen. Namen van personen of BSN-nummers zijn zelden van belang voor veel processen hooguit objectieve kenmerken zoals leeftijd of gezinssamenstelling. Maar dan wel vaak in betere verfijning dan alleen op basis van CBS-buurten.

MOR

Bij veel gemeenten zie je nog de neiging om bij het inrichten van een meldformulier te vragen om persoonsgegevens zoals naam, adres, telefoon, e-mail of nog erger de DigiD. Met de beste bedoeling om te kunnen terugbellen voor de statusupdate of om te vragen naar meer informatie maar soms ook met de bedoeling de veel-klagers te achterhalen. Dit leidt echter tot weer veel extra privacy gevoelige gegevens die weer netjes bewaakt, behandeld en vernietigd moeten worden. Nog afgezien van het feit dat de melding dan vaak op het adres van de melder wordt geplaatst waardoor de afhandelaar het probleem niet kan vinden. De registratie is daardoor ook niet bruikbaar voor geografische analyses omdat de melding niet op de juiste locatie is geplaatst en dus geen echte relevantie heeft voor de context. Terwijl veelal de melder alleen wil dat de gemeente er iets aan doet en vaak niet teruggebeld hoeft te worden.

 

In de meeste gemeenten is 80 procent van de meldingen gedaan door anonieme melders. En wil de melder zeker niet in een lijstje komen van de top-10 melders. Het is echter wel interessant waar de meldingen over gaan en op welke locatie of object het betrekking heeft. Want dat kan weer bron zijn voor preventief onderhoud of voor de wijkregisseur om de cumulatie van meldingen, zoals meldingen over hangjongeren, losse stoeptegels en kapotte straatlampen op hetzelfde pleintje aanleiding te maken voor een andere aanpak. Op dat gebied is nog veel te halen aan ‘machine learning’ waarbij het insturen van een foto voldoende zou moeten zijn voor het vaststellen van het probleem.

Conclusie

Op veel terreinen kunnen door middel van anonimiseren met GIS de nodige informatieproducten worden gemaakt. Zo blijft toegevoegde waarde leveren aan een scala van onderwerpen en vakgebieden in de gemeentelijke processen mogelijk, zonder dat de AVG wordt geschonden. Dus: minder krampachtig reageren en meer creatief anonimiseren!

Volgend Artikel

De beste projectlocaties te vinden in ArcGIS

Lees dit artikel