De Autoriteit Persoonsgegevens (AP) heeft besloten haar toezicht op de gemeente Eindhoven te intensiveren vanwege signalen dat de gemeente niet voldeed aan haar verplichtingen omtrent de bescherming van persoonsgegevens. Welke problemen spelen bij de gemeente en wat voor maatregelen legt de AP op?
Signalen dat de gemeente niet voldeed aan haar verplichtingen
De AP ontving signalen van onder andere de functionaris gegevensbescherming (FG) en de Rekenkamer van de gemeente dat de gemeente niet voldeed aan haar verplichtingen omtrent de bescherming van persoonsgegevens. Zo liet de gemeente bijvoorbeeld verplichte data protection impact assessments (DPIA’s) niet tijdig uitvoeren. Zo werd geen DPIA uitgevoerd bij een proef waarbij middels een app met een algoritme werkzoekenden gekoppeld werden aan vacatures, terwijl dit wel verplicht is als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Meer informatie over de verplichte DPIA is hier te lezen: ‘Wanneer moeten gemeenten een DPIA uitvoeren?.
Daarnaast meldde de gemeente datalekken niet tijdig aan de AP. De Rekenkamer had de gemeente al eerder gewaarschuwd dat het privacybeleid niet voldeed. De FG had dit ook al gemeld in de jaarverslagen van 2020 en 2021.
Maatregelen van de AP
Na een brief in juli en een gesprek tussen de AP en de gemeente in september 2022, gaf de AP de gemeente de opdracht een verbeterplan op te stellen. Volgens de AP was dit verbeterplan echter onvoldoende. Hierbij speelde mee dat de gemeente zich niet hield aan de bewaartermijnen voor persoonsgegevens en het DPIA-beleid nog altijd niet op orde leek te hebben. Hierdoor twijfelde de AP of de gemeente de adviezen van de FG naar behoren opvolgde en hiermee indirect liet zien dat zij de ernst en urgentie van de zorgen onvoldoende erkende. Om deze reden heeft de AP besloten om haar toezicht op de gemeente te intensiveren.
Intensivering toezicht
De intensivering van het toezicht betekent dat de AP de gemeente heeft opgedragen om binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan.
Naar aanleiding van deze rapportage zal de AP beoordelen welke verdere stappen er nodig zijn. Hierbij benoemt zij nadrukkelijk dat zij de optie openhoudt om de interventie op te schalen.
Vragen?
Heeft u vragen over de privacyrisico’s van uw organisatie of wilt u meer weten over dit onderwerp? Neem dan contact op met Marit Gorissen of Carola van Andel.