Geïntensiveerde toezicht bij de Gemeente Eindhoven beëindigd

In maart 2023 besloot de AP het toezicht op de Gemeente Eindhoven te intensiveren. De AP was toen al langer in gesprek met de gemeente. De aanleiding hiervoor waren signalen van de Functionaris gegevensbescherming en de Rekenkamercommissie dat de gemeente structureel niet voldeed aan haar verplichtingen onder de Algemene verordening gegevensbescherming (AVG). Zo werden datalekken niet of te laat gemeld, bewaartermijnen werden overschreden, en risico‑analyses bij nieuwe verwerking van persoonsgegevens, de DPIA’s ontbraken of werden niet tijdig uitgevoerd. De AP gaf de gemeente opdracht snel rapportages aan te leveren en concrete verbeterplannen te maken.

Het voorgelegde verbeterplan nam echter de zorgen van de AP niet wegnemen. De AP stelt in een brief dat het college nog onvoldoende inzicht heeft welke capaciteit nodig is om verbeteringen door te voeren. In de brief spreekt de AP de verwachting uit dat het college voor 1 juli duidelijkheid geeft over concrete doelen, benodigde capaciteit en tijdsplanning. Wanneer dit uitblijft zo schrijft zij, sluit de AP verdere handhavingsmaatregelen niet uit. En dat gebeurde: het toezicht werd geïntensiveerd en de burgemeester van Eindhoven en de verantwoordelijke wethouder werden door de AP uitgenodigd voor een gesprek.

Welke tekortkomingen waren er?

De AP constateerde de volgende tekortkomingen.

1. Bewaartermijnen: Mede door technische beperkingen en capaciteitsproblemen lukt het de gemeente al jaren niet om bewaartermijnen na te leven. De AP concludeerde dat dit probleem zeker tot 2025 zal voortduren. Daarbij merkt de AP op dat dit ook verwerkingen betreft waarin bijzondere gegevens van inwoners worden verwerkt.
2. DPIA’s (Data Protection Impact Assessments): Het verwerkingsregister is niet actueel, waardoor niet duidelijk is voor welke verwerkingen een DPIA verplicht is. Ook het voornemen om “overkoepelende DPIA’s” te gebruiken strookt niet met de AVG. Het idee is om verwerkingen te categoriseren en dan voor vergelijkbare verwerkingen een overkoepelende DPIA uit te voeren. Bovendien is onduidelijk wanneer maatregelen afgerond moeten zijn voordat risicovolle verwerkingen mogen starten.
3. Datalekken: Uit onderzoek blijkt dat in de registraties niet onvolledig en inconsistent wordt gerapporteerd. Betrokkenen worden vaak niet goed of tijdig geïnformeerd en AP-meldingen zijn regelmatig te laat of inconsistent met het register.
4. Positie van de FG: In het verbeterplan worden taken en bevoegdheden aan de FG toegekend die niet passen bij diens onafhankelijke rol. De AP vindt dit onacceptabel. In de brief worden onder andere de volgende twee taken genoemd. De FG moet richting en sturing geven aan het algehele verbeterprogramma, zodat gewaarborgd wordt dat het programma ‘levensvatbaar’ blijft en binnen eventueel gestelde randvoorwaarden. Het tweede feit uit het verbeterplan waar de FG over valt is dat de FG beslissingsbevoegd is m.b.t. het nemen van besluiten over het eventuele afwijken van de scope van het plan en over geëscaleerde issues. De AP acht dit in strijd met de onafhankelijkheid van de positie van de FG.
5. De Governance en organisatiecultuur: De AP acht de zogenaamde cultuurscan, een nulmeting, beperkt bruikbaar door de lage deelname en een focus op informatiebeveiliging in plaats van privacy. Uit aanvullend onderzoek blijkt onder andere dat sectoren onvoldoende privacykennis hebben, privacy officers te weinig aan hun kerntaken toekomen en de FG onvoldoende ruimte heeft voor toezicht.

Verbetertraject en beëindiging geïntensiveerd toezicht

Gedurende de daaropvolgende ongeveer twee jaar zette de gemeente belangrijke stappen op het gebied van privacy en gegevensbescherming. Dat resulteerde er in dat de AP op 13 oktober 2026 per brief aan de gemeente laat weten dat het intensieve toezicht wordt beëindigd. Zij schrijft dat de gemeente Eindhoven alle gestelde voorwaarden voor beëindiging van het geïntensiveerd toezicht heeft vervuld. Zo heeft het college het privacybeleid, waarvan privacy governance een onderdeel is, vastgesteld en gedeeld met de AP. De gemeente heeft een externe volwassenheidsmeting uitgevoerd waaruit een duidelijke verbetering blijkt: de totale volwassenheidsscore van de gemeente is gestegen van 2,1 bij de start van het toezicht naar 3,6.

Daarnaast heeft de gemeente met het instellingsbesluit FG vastgesteld waarmee de positie van de FG versterkt. Ook zijn privacy-ambassadeurs actief en is een datalekkenprotocol ingevoerd,

Het college heeft daarnaast aangegeven verder te willen professionaliseren en heeft onder meer een kwartiermaker Chief Privacy Officer aangesteld om de implementatie van het privacybeleid voort te zetten.

Conclusie

Het intensieve toezicht van de AP bij de gemeente Eindhoven maakt duidelijk dat ook publieke organisaties streng worden beoordeeld op hun naleving van de AVG. Deze casus toont aan dat tekortkomingen in privacyprocessen zoals onvolledige datalekmeldingen of het ontbreken van risicoanalyses zwaar wegen. Daarnaast blijkt het cruciaal dat de Functionaris Gegevensbescherming stevig en onafhankelijk is gepositioneerd en dat er een duidelijk privacybeleid met een passende governance-structuur aanwezig is. Tot slot biedt een volwassenheidsmeting waardevolle inzichten in het niveau van privacyvolwassenheid binnen de organisatie.