De gemeente Eindhoven staat voorlopig onder verscherpt toezicht van de Autoriteit Persoonsgegevens (AP). De Autoriteit heeft namelijk signalen dat de gemeente datalekken niet of niet op tijd meldt. Verder zou de gemeente verplichte scans op privacyrisico’s achterwege laten en persoonsgegevens van burgers te lang bewaren. Het verbeterplan van de gemeente verandert daar niets aan.
Zo meldde de interne privacytoezichthouder van de gemeente, de functionaris gegevensbescherming (FG) in het jaarverslag over 2020 en 2021 dat de gemeente verplichte risico-analyses (data protection impact assessments, DPIA’s) niet altijd (tijdig) uitvoerde. De gemeente meldde datalekken ook te laat. Ook de Rekenkamercommissie van de gemeente waarschuwde dat de gemeente het privacybeleid niet op orde had en de verplichte DPIA’s achterwege liet.
Milieupas
De twee grootste struikelblokken zijn onder meer een milieupas en een druktemeter. De gemeente voerde die in zonder die risico-analyse te doen. Dat gebeurde ook met een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures.
Na een brief in juli en een gesprek tussen de AP en de gemeente in september, gaf de AP de gemeente de opdracht een verbeterplan op te stellen. En dat is volgens de AP onder de maat. De gemeente zou zich niet houden aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde. Ook bestaan er zorgen over de omgang met datalekken. Het is volgens de Autoriteit de vraag of de gemeente de adviezen van de FG naar behoren opvolgt.
De eerste stap is dat de AP de gemeente heeft opgedragen binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Afhankelijk van die informatie kijkt de AP welke verdere stappen nodig zijn. Verbetert het niet dan kan de Autoriteit de interventie opschalen.
“Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat”, zegt AP-vicevoorzitter Monique Verdier. “Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens. Gemeenten beheren bovendien veel gevoelige gegevens van hun inwoners. Dan is het van groot belang dat een gemeente van tevoren controleert of het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan. En dat een gemeente een datalek op tijd meldt, om snel maatregelen te kunnen nemen, de mensen die getroffen zijn te informeren en herhaling te voorkomen. Dat nota bene een van de grootste gemeenten, de ‘brainport’ van Nederland, dat niet op orde lijkt te hebben is zeer ernstig.”
Lees ook:
- Geen grootschalige toegang VS tot gegevens studenten
- Een cyberaanval hoort wereldwijd tot drie grootste bedrijfsrisico’s
