“De Autoriteit Persoonsgegevens (AP) heeft grote zorgen over de naleving – in de volle breedte – van de Algemene verordening Gegevensbescherming (AVG) binnen uw gemeente”, zo opent de brief aan het college van burgemeester en wethouders. “Bovendien is bij de AP ernstige twijfel of uw college wel voldoende urgentie voelt om adequaat te investeren in de ontwikkeling van een goede privacy-organisatie en privacy-cultuur.”

De gemeente Eindhoven heeft zo’n 238.000 inwoners en die hebben geen keus of zij hun data willen afgeven: je bent immers verplicht je in te schrijven bij de gemeente waar je hoofdadres zich bevindt. Juist daarom hebben gemeenten een extra verantwoordelijkheid om hier zorgvuldig mee om te gaan. Veel studenten en medewerkers van de TU/e wonen ook in Eindhoven. Onlangs nog hebben ze te maken gehad met het lek van ID-Ware dat de TU/e-passen maakt, waarbij allerlei persoonsgegevens gelekt zijn en achteraf bleek dat ook daar geen DPIA was uitgevoerd, evenals dat er teveel data was opgeslagen. De hoeveelheid data die daar gelekt is, is een reëel risico voor identiteitsfraude. Ook een gemeente heeft een hoeveelheid en type data van inwoners die bij een lek kunnen leiden tot identiteitsfraude.

Burger staat klem

Bij projecten waar persoonsgegevens worden opgeslagen of verwerkt, moet er meestal een PIA of DPIA worden uitgevoerd om in kaart te brengen welke gegevens worden verwerkt, waar de risico’s zitten en welke beschermingsmaatregelen er worden genomen.

“De gemeente zou onder meer een milieupas en een druktemeter hebben ingevoerd zonder die risico-analyse te doen, en een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures”, zo geeft de AP voorbeelden van overtredingen. “Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat”,  zegt AP-vicevoorzitter Monique Verdier. “Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens. Gemeenten beheren bovendien veel gevoelige gegevens van hun inwoners. Dat nota bene een van de grootste gemeenten, in de ‘Brainport’ van Nederland, dat niet op orde lijkt te hebben is zeer ernstig.”

Verdier: “Het verbeterplan van de gemeente Eindhoven is onder de maat. Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen onvoldoende te erkennen. Dit vraagt om extra aandacht van de AP”, zo legt Verdier het verscherpte toezicht van de Autoriteit Persoonsgegevens uit.

Raadsvragen

Politieke partij Volt heeft een aantal raadsvragen opgesteld voor het college van B&W. Daarin vraagt de partij onder andere welke partijen zullen worden betrokken bij een nieuw verbeterplan. Kunnen andere gemeenten die de zaken wel netjes op orde hebben, Eindhoven wellicht helpen? Zijn er externe experts in beeld? Ook wil de partij weten of het college zich bewust is dat dit niet ‘slechts’ procedurele fouten zijn, maar ook een gevaar voor het recht van mensen op privacy en op zorgvuldige verwerking van hun gegevens. De schriftelijke raadsvragen van Volt dienen in principe binnen vier weken te worden beantwoord. GroenLinks gaat dinsdag aanstaande ook nog een rondvraag houden tijdens de gemeenteraadsvergadering.

Verder opschalen nog mogelijk

De eerste stap in dit geïntensiveerde toezicht is dat de AP de gemeente heeft opgedragen binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA’s, bewaartermijnen, de positie van de FG (Functionaris Gegevensbescherming) en enkele andere onderwerpen uit het verbeterplan. Afhankelijk van die informatie kijkt de AP welke verdere stappen nodig zijn. “Daarbij houden wij nadrukkelijk de optie open om onze interventie op te schalen”, zegt Verdier.

Update: ondertussen zijn de raadsvragen beantwoord.