Kommunens revisionsutskott varnade också för att kommunen inte hade sin integritetspolicy i ordning.
"Medborgarna ska kunna lita på att deras kommun hanterar deras personuppgifter varsamt. Som medborgare kan du inte välja: den kommun du bor i samlar in och använder dina personuppgifter. Kommunerna hanterar också mycket känslig information från sina invånare."
Kommunens revisionsutskott varnade också för att kommunen inte hade sin integritetspolicy i ordning och att kommunen inte följde de obligatoriska DPIA:erna. Kommunen ska ha infört bland annat ett miljöpass och en tryckmätare utan att göra den riskanalysen, och ett test med en app som länkar arbetssökande till lediga jobb med hjälp av en algoritm. Den 1 mars skickade den nederländska dataskyddsmyndigheten ett kort till borgmästaren och rådmännen i Eindhovens kommun.
oberoende tillsyn
Inom kommunen finns en oberoende tillsyn av korrekt genomförande och efterlevnad av GDPR. Denna handledare kallas också Dataskyddsombud (FG). Du kan kontakta dataskyddsombudet för alla frågor som rör behandlingen av personuppgifter. Du kan också lämna in ett klagomål till den nederländska dataskyddsmyndigheten, den nationella tillsynsmyndigheten, för efterlevnad av GDPR.
Enligt Eindhovens kommun Finns det ett dataintrång om din data har hamnat i orätta händer? Till exempel om kommunen adresserar ett brev felaktigt så att du kan se någon annans uppgifter. Men också om något av våra digitala informationssystem hackas eller om ett USB-minne, laptop eller smartphone tappas bort.
Eindhoven behöver skärpa sakerna lite när det kommer till säker behandling av personuppgifter. Dataintrång rapporteras för sent och de obligatoriska självutvärderingarna tar för lång tid, skrev dataskyddsombudet Marielle van den Bos i sin årsrapport redan 2021.
När det gäller AP:s vice ordförande Monique Verdier måste medborgarna kunna lita på att deras kommun hanterar deras personuppgifter med vederbörlig omsorg. Efter ett brev i juli och ett samtal mellan AP och kommunen i september gav AP i uppdrag till kommunen att upprätta en förbättringsplan. Enligt Verdier är den förbättringsplanen under par. Till exempel verkar det som att kommunen inte håller sig till lagringstider för personuppgifter och policyn för att genomföra DPIA verkar inte vara i sin ordning. Det finns också oro för att hantera dataintrång och frågan är om kommunen följer uppgiftsskyddsombudets råd ordentligt. Sammantaget tycks kommunen inte tillräckligt inse allvaret och brådskan i oron. Detta kräver extra uppmärksamhet från den nederländska dataskyddsmyndigheten.
intensifiering
Första steget i denna intensifierade tillsyn är att AP har gett kommunen i uppdrag att inom två månader skicka en rapport med mer information och handlingar om dataläckor, DPIA, bevarandetider, uppgiftsskyddsombudets ställning och flera andra ämnen från förbättringsplanen. Beroende på den informationen bestämmer AP vilka ytterligare steg som krävs. "Genom att göra det håller vi med eftertryck möjligheten öppen för att skala upp vår intervention", säger Monique Verdier.
