De gemeente Eindhoven komt onder een vergrootglas te liggen van de Autoriteit Persoonsgegevens (AP). De privacy-waakhond intensiveert de toezicht op de lichtstad. AP-vicevoorzitter Monique Verdier vindt het laakbaar dat uitgerekend de brainport van Nederland zijn zaken niet op orde heeft.
De AP heeft signalen dat de gemeente datalekken niet of niet op tijd meldt, verplichte scans op privacyrisico’s achterwege laat en persoonsgegevens van burgers te lang bewaart. Het door Eindhoven overgelegde verbeterplan heeft de zorgen van de AP niet weggenomen.
De AP is al langer in gesprek met de gemeente Eindhoven, vanwege verschillende aanwijzingen dat de gemeente niet goed omgaat met persoonsgegevens. De gemeente is van vele kanten gewaarschuwd. Zo trok de interne privacytoezichthouder van de gemeente, de functionaris gegevensbescherming (FG) in het jaarverslag over 2020 en 2021 al aan de alarmbel. De gemeente zou verplichte risicoanalyses, de zogeheten data protection impact assessments (dpia’s), niet altijd (tijdig) uitvoeren. Verder heeft de gemeente er een handje van datalekken te laat te melden. Ook de Rekenkamercommissie van de gemeente waarschuwde dat het privacybeleid niet op orde was en dat de gemeente de verplichte analyses achterwege liet. De gemeente zou onder meer een milieupas en een druktemeter hebben ingevoerd zonder die risicoanalyse te doen. Hetzelfde geldt voor een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures.
Monique Verdier heeft de gemeente duidelijk gemaakt dat nu menens is. Het verbeterplan was ver onder de maat. Eindhoven krijgt twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, dpia’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Als de gemeente de AP onvoldoende tegemoet komt, sluit Verdier hardere maatregelen zoals boetes niet uit.
Beetje vreemde stelling van Monique Verdier … bij mijn weten is de Brainport Nederland iets heel anders dan Gemeente Eindhoven
Dat deze toevallig in (regio) Eindhoven zit maakt het nog geen Gemeente Eindhoven
Zo gek is de stelling niet want de gemeente zet zichzelf graag op de kaart als brainport zoals gelijknamige stichting laat zien. Marketing versus de zaken op orde heeft Jeroen wat te doen. Want oud-voorzitter van de Onderzoeksraad voor Veiligheid snapt waarschijnlijk heel goed dat een bestuurlijk negeren van de interne signalen vervelende politieke consequenties kan hebben. Want niet alleen de alarmbellen van interne privacytoezichthouder zijn genegeerd maar ook een Rekenkamercommissie wordt niet serieus genomen waardoor er vragen te stellen zijn over interne controlemechanismen.