Schrif­te­lijke Vragen: Data­mo­ni­toring

Noot vooraf

Het college vindt het belangrijk zorgvuldig om te gaan met data, in het bijzonder wanneer het persoonsgegevens en privacy betreft. Bij de datamonitor bezoekerseconomie verwerkt de gemeente echter géén persoonsgegevens. Wel wordt gebruik gemaakt van geaggregeerde locatiegegevens die niet herleidbaar zijn tot individuen. Op basis van geaggregeerde locatiegegevens op groepsniveau worden bezoekersstromen en herkomsten tot postcode-4 niveau geanalyseerd.

De dataverzameling vindt plaats in samenwerking met Zicht op Data, dat voor de onderliggende data gebruik maakt van dataleverancier Resono. Zowel Zicht op Data als Resono werken volgens de geldende AVG-normen en hebben passende maatregelen getroffen om privacy te waarborgen. De werkwijze van Resono is onafhankelijk getoetst door ICTRecht en heeft het Privacy Verified-keurmerk ontvangen.

De gemeente heeft bij de keuze voor deze samenwerking in overleg met de Privacy Officer en de Functionaris Gegevensbescherming (FG) beoordeeld dat er geen sprake is van verwerking van persoonsgegevens bij gebruik van de datamonitor en dat de gemeente geen  verwerkingsverantwoordelijke is. In de gesprekken met Zicht op Data en Resono heeft de gemeente specifiek aandacht gehouden voor de gehele keten van dataverzameling, van het primaire verzamelproces tot de uiteindelijke geaggregeerde analyses in de dashboards van Zicht op Data.

De data benutten we voor beleid. De datamonitor ondersteunt niet alleen de regierol van gemeente Leiden, Centrummanagement Leiden en Leiden&Partners in de bezoekerseconomie, maar levert ook waardevolle inzichten voor andere doelen. Denk hierbij aan het verbeteren van de verbinding tussen het Leiden Bio Science Park (LBSP) en het stadscentrum, evenals het analyseren van bezoekersdata bij evenementen om de veiligheid en spreiding van bezoekersstromen te waarborgen. Het doel is een optimale balans tussen levendigheid en leefbaarheid, met datagedreven stadsmarketing en beleid.

1.       Hoe beoordeelt het college de kritiek van de wijkvereniging PAL op de uitgevoerde datamonitoring van de Leidse bezoekerseconomie?

Antwoord:
Ons college heeft kennisgenomen van de zorgen van wijkvereniging PAL, met name over privacyrisico’s. Wij willen benadrukken dat de monitoring voldoet aan de AVG. Leiden gebruikt in deze datamonitor geen persoonsgegevens. Wel worden geanonimiseerde locatiegegevens gebruikt, die niet herleidbaar zijn tot individuen (zie de noot vooraf en het antwoord op vraag 5). De datamonitor Pagina 1 van 4 helpt om beleid voor de bezoekerseconomie op feiten te baseren, met als doel een goede balans tussen levendigheid en leefbaarheid in de stad. Eind 2026 volgt een evaluatie en besluiten wij of de monitoring wordt voortgezet (zie vraag 9).

 

2.       Heeft de Autoriteit Persoonsgegevens (AP) de datamonitor getoetst?

Antwoord:

Er heeft geen toetsing door de AP plaatsgevonden. Dit was niet noodzakelijk, omdat er geen persoonsgegevens worden verwerkt (zie vraag 1 en 5).

Het bedrijf Resono is AVG-gecertificeerd en werkt volgens het privacy-first-principe, onafhankelijk getoetst door ICTRecht. Dit houdt in dat in iedere fase van productontwikkeling wordt gewaarborgd dat de dataoplossingen voldoen aan de AVG-wetgeving. Deze werkwijze is onafhankelijk getoetst door ICTRecht, dat Resono in 2021 het Privacy Verified keurmerk heeft toegekend. Dit certificaat bevestigt dat de werkwijzen en methodieken van Resono voldoen aan de eisen van de AVG. Het behouden van dit certificaat is een doorlopend proces waarbij ICTRecht regelmatig toetst of de werkwijzen blijven voldoen aan eventuele wijzigingen in de wet- en regelgeving. 

Overigens toetst de AP altijd achteraf, zoals beschreven in de wethoudersbrief van 5 juli 2023 over de monitoring van bezoekers

3.       Heeft het college overwogen om voorafgaand aan de invoering van de monitor een DPIA uit te voeren?

Antwoord:

Omdat er in dit geval geen persoonsgegevens door Leiden worden verwerkt is een DPIA niet toegepast. Een DPIA is verplicht als het verwerken van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert. Het is een instrument om vooraf de privacyrisico’s van gegevensverwerking in kaart te brengen en maatregelen te nemen om deze risico’s te verkleinen. Zie ook de antwoorden bij vraag 2, 5, 6 en 7.

4.       Hoe heeft de gemeente bezoekers geattendeerd op het gebruik van locatiegegevens?

Antwoord: 
Leiden&Partners heeft een openbare pagina gepubliceerd over dataverzameling in Leiden, met openheid over datamethoden en doelen van data-analyse. Aangegeven wordt dat iedereen vrij is om contact met Leiden&Partners op te nemen over dataverzameling. https://www.visitleiden.nl/nl/leidenenpartners/mvo/data

Verder is het belangrijk dat iedereen zich bewust is dat via je mobiele telefoon continu data worden verzameld en gedeeld, tenzij je daar actief maatregelen op neemt. GPS-tracking wordt zo jaarrond overal in Nederland uitgevoerd, als individuen daar toestemming voor gegeven hebben via apps. Ook als wij geen data-analyse zouden uitvoeren via de monitor, worden deze data alsnog verzameld.

5.       Kan het college garanderen dat individuele personen niet geïdentificeerd kunnen worden?

Antwoord:

Ja. Resono anonimiseert locatiegegevens direct na ontvangst en past differentiële privacy toe. Dat wil zeggen dat er kunstmatige ruis aan de datasets wordt toegevoegd. Zo kunnen resultaten van hoge kwaliteit worden gegenereerd zonder dat mensen persoonlijk kunnen worden geïdentificeerd. Deze privacybeschermende maatregelen zorgen er ook voor dat het gemeten aantal bezoeken nooit bekend wordt gemaakt en alleen geaggregeerde gegevens worden gerapporteerd. Zie verder vraag 1 en de noot vooraf.

6.       Hoe houdt het college toezicht op het gebruik van data door commerciële partners?

Antwoord:

Resono verwerkt enkel gegevens in de vorm van locatiegegevens.   Derden ontvangen alleen gegevens op geaggregeerd niveau (groepsniveau). Deze gegevens zijn op geen enkele manier – niet direct, maar ook niet indirect – te herleiden tot een natuurlijk persoon. Het betreft geaggregeerde data waarop bovendien differential privacy is toegepast.

In alle gevallen is er een overeenkomst gesloten met de derde partij (afnemers van Resono) waarin de doelen waarvoor zij de gegevens mogen gebruiken duidelijk zijn vastgelegd en waarmee de veiligheid van de gegevens conform de Nederlandse en Europese wetgeving wordt gewaarborgd. 

Ten tijde van het bespreken van het voorstel Visie op de bezoekerseconomie Leiden 2021-2024 gebruikten de apps via welke GPS-gegevens worden verzameld voornamelijk de grondslag ‘toestemming’ als basis voor het verzamelen van de gegevens. Tegenwoordig zie je dat er naast toestemming voor bepaalde verwerkingen ook een beroep wordt gedaan op de grondslag ‘gerechtvaardigd belang’ voor weer andere verwerkingen. Zie onderaan deze vragen ter illustratie een screenshot van de app Buienalarm.

7.       Is de grondslag ‘gerechtvaardigd belang’ een valide basis voor het verzamelen van locatiegegevens?

Antwoord:

Voor de verwerking van locatiegegevens maakt Resono gebruik van gegevens van gebruikers die expliciet toestemming hebben gegeven via apps binnen het Resono mobile panel, zoals nieuws-, weer- en verkeersapps. Gebruikers van deze apps kunnen op elk moment de toestemming voor het delen van hun locatiegegevens intrekken via de app-instellingen of het besturingssysteem van hun mobiele telefoon. De verstrekte data wordt door Resono direct geanonimiseerd en alleen in geaggregeerde vorm beschikbaar gesteld aan klanten. Hierdoor zijn de gegevens niet te herleiden tot individuele personen.

Omdat de data na ontvangst geanonimiseerd wordt, is er geen sprake van persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (AVG). Voor volledig geanonimiseerde gegevens is dan ook geen juridische grondslag, zoals het gerechtvaardigd belang, vereist. De inzet van geanonimiseerde locatiegegevens is van groot belang voor datagedreven sturing op stedelijke vraagstukken, zoals het vinden van een balans tussen levendigheid en leefbaarheid, het vergroten van veiligheid tijdens evenementen, en het ondersteunen van de lokale economie.

Resono waarborgt dat bij de initiële verzameling van locatiegegevens de vereisten uit de  Telecommunicatiewet en AVG worden nageleefd. De expliciete toestemming van gebruikers vormt de basis voor het verzamelen van deze gegevens door de apps.

Echter, wij onderkennen dat gebruikers zich mogelijk niet altijd volledig bewust zijn van de consequenties van deze toestemming, zoals bij veel mobiele applicaties het geval kan zijn. Dit blijft een belangrijk aandachtspunt binnen de discussie over de balans tussen gebruiksvriendelijkheid en transparantie in gegevensverzameling. Dit punt wordt meegenomen in de evaluatie van de datamonitor.

8.       Hoe controleert het college de rechtmatigheid van gegevensverwerking door Resono?

Antwoord:

Zolang Resono over de juiste certificaten beschikt omtrent privacy is dit door middel van die officiële certificering geborgd. Ook als er wel persoonsgegevens verwerkt zouden worden. Met regelmaat wordt gecontroleerd of de dataleverancier de betreffende certificaten heeft, die worden namelijk met regelmaat opnieuw getoetst.

9.       Hoe lang gaat het college door met deze vorm van monitoring?

Antwoord:

De eerste meetperiode duurt 3 jaar. Data-analyse heeft namelijk alleen op middellange en lange termijn zin om zo trends waar te kunnen nemen. Eind 2026 zal een evaluatie plaatsvinden en beslist worden om wel of niet door te gaan met deze vorm van monitoring. Voorwaarden zijn hoofdzakelijk de ruimte voor meerjarige financiering, en daarnaast of op basis van deze monitoring data ook gebruikt wordt door verschillende afdelingen en organisaties. Want als data uit deze monitoring niet geraadpleegd wordt, heeft het geen zin om data te verzamelen.

De visie is om een regierol op de bezoekerseconomie te nemen op basis van datagedreven analyses, met als doel een balans in levendigheid en leefbaarheid voor bewoners, ondernemers en andere stakeholders. Zonder datagedreven beleid varen we als stad op een onderbuikgevoel. Sturing van bezoekers doen we door gerichte stadsmarketing, strategische keuzes en overwogen beleid.

10.  Zijn er ethische bezwaren tegen deze vorm van dataverzameling?

Antwoord:

Ons college erkent dat naast juridische kaders ook ethische overwegingen een rol spelen bij dataverzameling. Privacy en transparantie zijn hierbij belangrijke waarden. We zullen niet meer data verzamelen dan nodig. In dit geval krijgen we met anonieme gegevens voldoende inzichten dieessentieel zijn om gericht beleid te maken op basis van feiten om zo de stad leefbaar en aantrekkelijk te houden. Daarnaast maken we ook gebruik van andere methoden, zoals Retail- en warenmarktcijfers en het nachtregister, om een volledig en zorgvuldig beeld te krijgen.

Wij achten de huidige werkwijze verantwoord en zorgvuldig, maar uiteraard staan we open voor reflectie en aanpassing als de maatschappelijke context of inzichten daarom vragen.