AP houdt gemeente Eindhoven scherper in de gaten vanwege privacyrisico's

Volgens de AP zijn er al langer signalen dat de gemeente Eindhoven niet zorgvuldig omgaat met privacyrisico's. In het jaarverslag van 2020 en 2021 meldde de functionaris gegevensbescherming (FG) van de gemeente bijvoorbeeld dat de gemeente verplichte data protection impact assessments (DPIA's) niet altijd (tijdig) uitvoerde en dat datalekken te laat gemeld werden. Daarnaast waarschuwde de Rekenkamercommissie van de gemeente dat het privacybeleid niet op orde was en dat verplichte DPIA's zelfs achterwege werden gelaten, bijvoorbeeld bij een proef met een app die met een algoritme werkzoekenden aan vacatures koppelt.

De AP stuurde de gemeente in juli vorig jaar een brief en ging in september met de gemeente in gesprek, waarna Eindhoven de opdracht kreeg om een verbeterplan op te stellen. Maar dat verbeterplan is niet voldoende, vindt de AP nu. "Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde", zegt AP-vicevoorzitter Monique Verdier.

"Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen onvoldoende te erkennen. Dit vraagt om extra aandacht van de AP."

Rapportage binnen twee maanden

De AP heeft daarom besloten de gemeente onder intensiever toezicht te stellen. De eerste stap daarbinnen is dat de AP de gemeente heeft opgedragen om binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA's, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Aan de hand van die informatie wordt gekeken welke verdere stappen nodig zijn. "Daarbij houden wij nadrukkelijk de optie open om onze interventie op te schalen."