Kommunens revisjonsutvalg advarte også om at kommunen ikke hadde sin personvernerklæring i orden.
"Innbyggerne må kunne stole på at kommunen deres behandler personopplysningene deres med varsomhet. Som innbygger kan du ikke velge: kommunen du bor i samler inn og bruker personopplysningene dine. Kommunene håndterer også mye sensitiv informasjon om innbyggerne sine. ."
AP-nestleder Monique Verdier
Kommunens revisjonsutvalg advarte også om at kommunen ikke hadde sin personvernpolicy i orden og at kommunen utelater de obligatoriske DPIAene. Kommunen skal ha innført blant annet miljøpass og trykkmåler uten å foreta en risikoanalyse, og en utprøving med en app som bruker en algoritme for å knytte arbeidssøkere til ledige stillinger. 1. mars sendte det nederlandske datatilsynet en kort til ordfører og rådmenn i Eindhoven kommune.
uavhengig tilsyn
Innad i kommunen gjennomføres det uavhengig tilsyn for å sikre forsvarlig implementering og etterlevelse av GDPR. Denne veilederen kalles også Databeskyttelsesansvarlig (FG). Du kan kontakte FG for alle saker knyttet til behandling av personopplysninger. Du kan også sende inn en klage til den nederlandske datatilsynet, den nasjonale tilsynsmyndigheten for overholdelse av GDPR.
I følge Eindhoven kommune Det er et databrudd hvis dataene dine har falt i feil hender. For eksempel hvis kommunen adresserer et brev feil, slik at du kan se andres data. Men også hvis et av våre digitale informasjonssystemer ble hacket eller på grunn av tap av en USB-pinne, bærbar PC eller smarttelefon.
Eindhoven må stramme inn litt når det gjeld sikker behandling av personopplysningar. Datalekkasjer rapporteres for sent og de obligatoriske egenvurderingene tar for lang tid, skrev databeskyttelsesansvarlig Marielle van den Bos i sin årsrapport i 2021.
Når det gjelder AP-nestleder Monique Verdier, må innbyggerne kunne stole på at kommunen deres behandler personopplysningene deres med forsiktighet. Etter brev i juli og samtale mellom AP og kommunen i september, påla AP kommunen å lage en forbedringsplan. Ifølge Verdier er den forbedringsplanen substandard. For eksempel ser det ut til at kommunen ikke overholder oppbevaringsperioder for personopplysninger og policyen for gjennomføring av DPIA ser ikke ut til å være i orden. Det er også bekymring for å håndtere datalekkasjer og det spørs om kommunen følger rådene fra FG ordentlig. Alt i alt ser det ikke ut til at kommunen i tilstrekkelig grad erkjenner alvoret og det haster med bekymringene. Dette krever ekstra oppmerksomhet fra det nederlandske datatilsynet.
intensivering
Første steg i dette skjerpede tilsynet er at AP har gitt kommunen i oppdrag å sende en rapport innen to måneder med mer informasjon og dokumenter om datalekkasjer, DPIAer, oppbevaringsperioder, posisjonen til DPO og enkelte andre tema fra forbedringsplanen. Avhengig av denne informasjonen vil AP avgjøre hvilke ytterligere trinn som er nødvendige. "Vi holder ettertrykkelig muligheten åpen for å skalere opp intervensjonen vår," sier Monique Verdier.