AP: vastgesteld dat Eindhoven niet goed omgaat met persoonsdata en datalekken – IT Pro – Nieuws

De Autoriteit Persoonsgegevens meldt dat het signalen heeft gekregen dat de gemeente Eindhoven datalekken niet of niet op tijd meldt en dat niet goed wordt omgegaan met persoonsgegevens. Op basis hiervan is het toezicht op de geïntensiveerde gemeente.

De Autoriteit Persoonsgegevens schrijft dat het al langer in gesprek is met Eindhoven vanwege de verschillende mogelijke dat de gemeente niet goed omgaat met meer persoonsgegevens en datalekken. Zo is er in juli vorig jaar een kort gestuurd en in september een gesprek geweest, waarbij de AP-opdracht om een ​​verbeterplan te komen gaf. De Brabantse gemeente heeft dat plan ingediend, maar dat heeft de zorgen van de privacytoezichthouder niet weggenomen.

Monique Verdier, de vicevoorzitter van de AP, zegt dat het verbeterplan ‘onder de maat’ is. “Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van gegevensbeschermingseffectbeoordelingen (dpia’s) niet op bestelling. Ook bestaan ​​er zorgen over de omgang met datalekken en is de vraag van de gemeente de oplossing van de FG naar goed opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen voldoende te erkennen.”

Ze stellen dat burgers erop kunnen vertrouwen dat hun gemeenten hun gegevens en dat gemeenten veel vertrouwelijke gegevens van hun inwoners bewaren. “Dan is het van groot belang dat een gemeente van eerdere vermoedens van het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan. En dat een gemeente een datalek op tijd registreert, om snelle maatregelen te kunnen nemen, de mensen die getroffen zijn te informeren en herhaling te voorkomen. Dat nota bene een van de grootste gemeenten, de ‘brainport’ van Nederland, dat niet op volgorde lijkt te hebben, is zeer serieus.”

De problemen werden enkele jaren geleden in het jaarverslag over 2020 en 2021 gemeld door de interne privacytoezichthouder van de gemeente, de functionele gegevensbescherming. Onderwijl werd al voorkomen dat de dpia’s niet altijd gelijkmatig werden uitgevoerd en dat datalekken te laat werden gemeld. De Rekenkamercommissie van Eindhoven waarschuwde eerder dat de gemeente het privacybeleid niet op orde had en dat de verplichte dpia’s niet werden uitgevoerd. Zo zou de gemeente onder andere een milieupas en een druktemeter hebben zonder deze risicoanalyse uit te voeren. Ook zou Eindhoven een proef met een app hebben gedaan dat een algoritme bevat dat werkzoekenden aan vacatures koppelt.

Als onderdeel van het verstevigde toezicht van de AP de gemeente opdracht gegeven om binnen twee maanden een rapportage te sturen met aanvullende informatie en documenten over datalekken, dpia’s, bewaartermijnen, de positie van de functionele gegevensbescherming en andere onderwerpen uit het verbeterplan. Zodra de rapportage is bekeken, is de toezichthouder van de volgende stappen nodig. “Daarbij houden wij de optie open om onze interventie op te schalen”, zegt Verdier.