De veelbesproken gegevensbeschermingsverordening GDPR van de EU treedt op 25 mei 2018 in werking. De verordening bestrijkt onder de noemer persoonlijke privacy een brede scala aan issues,  waarbij de nadruk ligt op ( de beveiliging en zekerstelling van) gegevens die tot een individu herleidbaar zijn en het recht om te worden vergeten.

De GDPR (in ons land AVG, Algemene Verordening Gegevensbescherming) wordt van kracht, terwijl steden en dorpen over de hele wereld het Internet of Things (IoT) omarmen en als zogenaamde ‘Smart Cities” hopen door het verzamelen en combineren van enorme hoeveelheden gegevens efficiëntere geautomatiseerde diensten te leveren.

Wat betekent GDPR voor de manier waarop Smart City-initiatieven gegevens gebruiken? En hoe kunnen de honderden Smart City-projecten in de EU gegevensgestuurde services leveren en toch compliant blijven? De zorg waarmee bijvoorbeeld de VNG dit vraagstuk tegemoet treedt is een voorbeeld voor vele ondernemingen.

Gezien de overvloed aan kansen en mogelijkheden die het concept Smart Cities biedt – van slimme lantaarnpalen en parkeerhulp tot geautomatiseerde pakketbezorging, GPS-diensten en sociale preventie ‘nudging’, gaat het in veel gevallen om persoonlijke en tot een persoon herleidbare data. Smart cities moeten ook de uiterste zorg betrachten bij het definiëren van de juiste rechtsgrondslag waarop zij gegevens van personen verzamelen, verwerken en gebruiken. En mochten ze van plan zijn deze gegevens te delen met andere overheidsdiensten en / of bedrijven, dan moeten ze alle relevante informatie aan de betrokkene verstrekken, op het moment van verzamelen en voordat het feitelijke delen plaatsvindt; inclusief met wie en waarom ze van plan zijn te delen gegevens. Het zal de gemeenten (net als andere organisaties) niet meevallen te bewijzen dat zij dit alles ‘AVG-compliant’ doen, helemaal waar het gaat om de audit-vereisten.

De grootste verandering die we met de GDPR zullen zien, is de machtsverschuiving tussen de houder en de eigenaar van de gegevens – de gemeente of de burger, de onderneming of de consument. Zodra de GDPR van kracht wordt, hebben consumenten het recht om te vragen hoe en wanneer en waarom hun gegevens worden gebruikt en moeten zij daar toestemming voor geven. Bovendien behouden ze zich het recht voor, bepaalde informatie te (doen) vergeten.