Ook de Rekenkamercommissie van de gemeente waarschuwde dat de gemeente het privacybeleid niet op orde had.
"Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat. Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens. Gemeenten beheren bovendien veel gevoelige gegevens van hun inwoners."
AP-vicevoorzitter Monique Verdier
Ook de Rekenkamercommissie van de gemeente waarschuwde dat de gemeente het privacy beleid niet op orde had en dat de gemeente de verplichte DPIA’s achterwege liet. De gemeente zou onder meer een milieupas en een druktemeter hebben ingevoerd zonder die risicoanalyse te doen, en een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures. Op 1 maart verzond de Autoriteit Persoonsgegevens een brief aan het college van burgemeester en wethouders van de gemeente Eindhoven.
onafhankelijk toezicht
Binnen de gemeente wordt onafhankelijk toezicht gehouden op een goede uitvoering en naleving van de AVG. Deze toezichthouder wordt ook wel de Functionaris Gegevensbescherming (FG) genoemd. Je kunt bij de FG terecht voor alle zaken die verband houden met de verwerking van persoonsgegevens. Je kunt ook een klacht indienen bij de Autoriteit Persoonsgegevens, de landelijke toezichthouder op de naleving van de AVG.
Volgens de gemeente Eindhoven is er sprake van een datalek als jouw gegevens in de verkeerde handen zijn gekomen. Bijvoorbeeld als de gemeente een brief verkeerd adresseert waardoor je gegevens van een ander kan inzien. Maar ook wanneer een van onze digitale informatiesystemen zou worden gehackt of door het verlies van een usb-stick, laptop of smartphone.
Eindhoven moet de boel een beetje aanscherpen als het aankomt op de veilige verwerking van persoonsgegevens. Datalekken worden te laat gemeld en de verplichte zelfbeoordelingen duren te lang, schreef functionaris gegevensbescherming Marielle van den Bos al in 2021 in haar jaarrapportage.
Wat AP-vicevoorzitter Monique Verdier betreft moeten burgers erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat. Na een brief in juli en een gesprek tussen de AP en de gemeente in september, gaf de AP de gemeente de opdracht een verbeterplan op te stellen. Volgens Verdier is dat verbeterplan onder de maat. Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen onvoldoende te erkennen. Dit vraagt om extra aandacht van de Autoriteit Persoonsgegevens.
intensivering
De eerste stap in dit geïntensiveerde toezicht is dat de AP de gemeente heeft opgedragen binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Afhankelijk van die informatie kijkt de AP welke verdere stappen nodig zijn. “Daarbij houden wij nadrukkelijk de optie open om onze interventie op te schalen”, zegt Monique Verdier.