De Autoriteit Persoonsgegevens (AP) intensiveert haar toezicht op de gemeente Eindhoven. De gemeente zou datalekken niet of niet tijdig melden, verplichte scans op privacyrisico's niet uitvoeren en persoonsgegevens van burgers te lang bewaren.
De partijen zijn al langer met elkaar in gesprek. De gemeente Eindhoven stelde eerder een verbeterplan neer bij de AP. De toezichthouder meldt echter dat dit plan haar zorgen niet heeft weggenomen.
De AP wijst op signalen dat de gemeente Eindhoven niet goed omgaat met persoonsgegevens. Zo meldde de functionaris gegevensbescherming (FG) van de gemeente in het jaarverslag over 2020 en 2021 dat de gemeente verplichte data protection impact assessments (DPIA’s) niet altijd (tijdig) uitvoert. Ook zouden datalekken te laat zijn gemeld.
Ook de Rekenkamercommissie van de gemeente waarschuwde eerder dat de gemeente het privacybeleid niet op orde heeft, en dat de gemeente verzuimt verplichte DPIA's uit te voeren. De gemeente Eindhoven zou onder meer een milieupas en druktemeter hebben ingevoerd zonder risico-analyse, evenals een proef met een app die werkzoekenden koppelt aan vacatures via een algoritme.
"Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat", zegt AP-vicevoorzitter Monique Verdier. "Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens. Gemeenten beheren bovendien veel gevoelige gegevens van hun inwoners."
"Dan is het van groot belang dat een gemeente van tevoren controleert of het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan. En dat een gemeente een datalek op tijd meldt, om snel maatregelen te kunnen nemen, de mensen die getroffen zijn te informeren en herhaling te voorkomen. Dat nota bene een van de grootste gemeenten, de ‘brainport’ van Nederland, dat niet op orde lijkt te hebben is zeer ernstig."
Eerder stelde de gemeente na een gesprek met de AP een verbeterplan op. Verdier: "Dat verbeterplan is onder de maat. Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen onvoldoende te erkennen. Dit vraagt om extra aandacht van de AP."
De eerste stap in het geïntensiveerde toezicht is dat de AP de gemeente opdraagt binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA's, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Afhankelijk van deze informatie kan de AP verdere stappen nemen. "Daarbij houden wij nadrukkelijk de optie open om onze interventie op te schalen", aldus Verdier.
