Defensie past werkwijze bescherming persoonsgegevens aan

Om bij het verzamelen en analyseren van openbare informatie persoonsgegevens beter te kunnen beschermen, gaat Defensie de bestaande werkwijzen aanpassen, zodat deze voldoen aan de AVG. “Dat is noodzakelijk, omdat het voor Defensie essentieel is om in de toekomst informatiegestuurd op te treden”, concludeert minister van Defensie Ank Bijleveld-Schouten.

De minister reageert hiermee op de resultaten van het onderzoek dat de Functionaris Gegevensbescherming (FG) van Defensie als onafhankelijk toezichthouder heeft gedaan. In het rapport wordt geconcludeerd dat het Land Information Manoeuvre Centre (LIMC) van Defensie op enkele punten de geldende wetten en regels voor de bescherming van persoonsgegevens onvoldoende heeft nageleefd.

Dat gebeurde in de periode 23 maart 2020 tot en met 27 november 2020. Toen verzamelde en analyseerde deze eenheid van de landmacht informatie rond de COVID-19 crisis. 

NRC Handelsblad bericht in november 2020 over de activiteiten van het LIMC. Uit de berichtgeving en uit de reacties daarop komt het beeld naar voren dat bij het LIMC mogelijk sprake is van incidenten bij het verwerken van persoonsgegevens. De FG besloot daarop een onderzoek in te stellen naar de naleving van de AVG.

Bijvangst

Het LIMC heeft COVID-19 gerelateerde maatschappelijke ontwikkelingen als 'fenomeen' in kaart gebracht om militaire en civiele besluitvorming te voeden met inzicht en handelingsperspectief. Het LIMC had niet de intentie om (grootschalig) persoonsgegevens te verwerken, maar is hierin niet volledig geslaagd. Persoonsgegevens van (publieke) personen kwamen mee als 'bijvangst', concludeert de FG.

Voor deze verwerking was geen wettelijke grondslag. Het civiel gezag heeft geen verzoek gedaan om militaire bijstand of militaire steunverlening in het openbaar belang (MSOB) en de minister van Defensie heeft geen zelfstandige taak en/of bevoegdheid, waarop de nationale inzet van het LIMC kan berusten, aldus de FG.

De FG zegt dat de medewerkers van LIMC te goeder trouw handelden en niet de intentie hadden om buiten de AVG te werken. Sommige persoonsgegevens zijn in rapportages opgenomen, omdat de medewerkers na advies dachten dat dit volgens de AVG was toegestaan. De FG heeft vastgesteld dat het LIMC op dit punt onjuist advies heeft gekregen.

“Het onderzoek van onze toezichthouder is heel belangrijk geweest, omdat de razendsnelle IT-ontwikkelingen grote operationele gevolgen voor de krijgsmacht hebben”, zegt minister Bijleveld. “Uit de dreigings- en probleemanalyse van de Defensievisie 2035 komt naar voren dat Defensie nu onvoldoende is toegerust voor het opereren in de informatieomgeving. Daar moet snel verandering in komen.”

Aanbevelingen

Het onderzoek en de aanbevelingen van de FG spelen daarin volgens haar een essentiële rol. “Bij informatiegestuurd optreden is het verwerken van persoonsgegevens onvermijdelijk. Maar het is dan cruciaal dat we ons daarbij steeds aan wet- en regelgeving houden.”

Hiermee moet aan de voorkant al rekening worden gehouden, zoals een van de aanbevelingen van het rapport luidt. Daarom wordt er voortaan vooraf een beoordeling gemaakt over de impact op de privacy, bij elke inzet waarbij persoonsgegevens worden verwerkt.

De komende tijd gaat een extern bureau nader onderzoek doen naar de naleving van de AVG bij de informatieactiviteiten van verschillende defensie-onderdelen. Dit bureau onderzoekt verder de activiteiten die nu uit voorzorg zijn aangepast of stopgezet. Het bureau wordt tevens gevraagd om de door de onderdelen gesignaleerde knelpunten te inventariseren en aanbevelingen te doen om deze op te lossen.

Minister Bijleveld: “Wij gaan hard aan het werk om zo snel mogelijk een goede privacybescherming in te regelen bij het voor Defensie essentiële informatiegestuurd optreden in de toekomst.”