De Autoriteit Persoonsgegevens (AP) intensiveert haar toezicht op de gemeente Eindhoven. De AP heeft signalen dat de gemeente datalekken niet of niet op tijd meldt, verplichte scans op privacyrisico’s achterwege laat en persoonsgegevens van burgers te lang bewaart. Het door Eindhoven overgelegde verbeterplan heeft de zorgen van de AP niet weggenomen.
De AP is al langer in gesprek met de gemeente Eindhoven, vanwege verschillende aanwijzingen dat de gemeente niet goed omgaat met persoonsgegevens.
Zo meldde de interne privacytoezichthouder van de gemeente, de functionaris gegevensbescherming (FG) in het jaarverslag over 2020 en 2021 dat de gemeente verplichte risico-analyses (zogeheten data protection impact assessments, DPIA’s) niet altijd (tijdig) uitvoerde en datalekken te laat meldde.
Ook de Rekenkamercommissie van de gemeente waarschuwde dat de gemeente het privacybeleid niet op orde had en dat de gemeente de verplichte DPIA’s achterwege liet.
De gemeente zou onder meer een milieupas en een druktemeter hebben ingevoerd zonder die risico-analyse te doen, en een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures.
‘Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat’, zegt AP-vicevoorzitter Monique Verdier. ‘Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens. Gemeenten beheren bovendien veel gevoelige gegevens van hun inwoners.’
‘Dan is het van groot belang dat een gemeente van tevoren controleert of het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan. En dat een gemeente een datalek op tijd meldt, om snel maatregelen te kunnen nemen, de mensen die getroffen zijn te informeren en herhaling te voorkomen. Dat nota bene een van de grootste gemeenten, de ‘brainport’ van Nederland, dat niet op orde lijkt te hebben is zeer ernstig.’
Na een brief in juli en een gesprek tussen de AP en de gemeente in september, gaf de AP de gemeente de opdracht een verbeterplan op te stellen.
Verdier: ‘Dat verbeterplan is onder de maat. Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen onvoldoende te erkennen. Dit vraagt om extra aandacht van de AP.’
De eerste stap in dit geïntensiveerde toezicht is dat de AP de gemeente heeft opgedragen binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan.
Afhankelijk van die informatie kijkt de AP welke verdere stappen nodig zijn. ‘Daarbij houden wij nadrukkelijk de optie open om onze interventie op te schalen’, zegt Verdier.