De Autoriteit Persoonsgegevens (AP) beëindigt met ingang van 1 maart 2025 het intensieve toezicht op de gemeente Eindhoven. Sinds de tussenkomst van de AP heeft de gemeente meer werk gemaakt van privacy- en gegevensbescherming. Er is door de AP wel een aantal voorwaarden verbonden aan de beëindiging.
Het geïntensiveerde toezicht van de AP begon op 1 maart 2023. Aanleiding was een reeks zorgelijke signalen over de manier waarop de gemeente Eindhoven omging met persoonsgegevens en privacy van mensen. Er bleek een verbetering nodig van de privacycultuur.
Punten van zorg
Het ging onder meer om signalen dat de gemeente datalekken niet of niet op tijd meldde. En dat gegevens van mensen in Eindhoven structureel te lang werden bewaard. Ook verzamelde en gebruikte de gemeente destijds persoonsgegevens zonder eerst de privacyrisico’s te analyseren, terwijl dat wel verplicht is.
De AP constateert dat de gemeente sindsdien op verschillende vlakken stappen vooruit heeft gezet. Zo is er nu een protocol voor de omgang met datalekken. Daarnaast is formeel de rol en positie van de functionaris gegevensbescherming (fg) vastgelegd en uitgewerkt. De fg is de interne privacytoezichthouder die onafhankelijk moet kunnen opereren en ook ongevraagd aan de bel moet kunnen trekken. Ook stelt de gemeente een nieuw privacybeleid op.
Aantoonbare verbeteringen
‘Als inwoner moet je erop kunnen vertrouwen dat je gemeente goed met je persoonlijke gegevens omgaat, ook omdat je voor allerlei praktische zaken in je leven op de gemeente aangewezen bent’, zegt AP-vicevoorzitter Monique Verdier. ‘Dat was aanvankelijk echt niet goed genoeg geregeld. Het is goed om te zien dat het college van B&W van Eindhoven inmiddels de handschoen heeft opgepakt en aantoonbare verbeteringen heeft doorgevoerd.’
Stimulans voor gemeente om verder te blijven werken aan privacy- en gegevensbescherming
Aan de beëindiging van het geïntensiveerde toezicht is wel een aantal voorwaarden verbonden. Die dienen als stimulans voor de gemeente om verder te blijven werken aan een adequaat niveau van privacy- en gegevensbescherming. Want er zijn ook nog stappen te gaan. Zo moet het nieuwe privacybeleid formeel nog worden vastgesteld. Daarnaast is er uiterlijk zes maanden na afloop van het versterkte toezicht een evaluatiegesprek met de AP. En het college moet het nalevingsniveau van de AVG meten en laten valideren door een externe deskundige partij.
Goede richting
Ook na beëindiging van het geïntensiveerd toezicht kan de AP op elk moment een onderzoek starten en eventueel sancties opleggen. Dat is natuurlijk niet waar de AP op uit is, legt Verdier uit: ‘De AP treedt streng op als dat nodig is. Maar regelmatig kunnen dingen ook verbeteren op een andere manier. Bijvoorbeeld door wat strenger toezicht, samen met advies, om een organisatie in de goede richting te helpen. Dat is wat de AP heeft gedaan bij de gemeente Eindhoven. Het is nu aan de gemeente om dit proces op een goede manier af te ronden. De AP blijft daarop toezien.’
Toezichtstrategie
Op de dag dat wordt aangekondigd dat het intensieve toezicht op de gemeente Eindhoven gaat worden opgeheven, heeft de Autoriteit Persoonsgegevens (AP) ook zijn toezichtstrategie voor de komende jaren gepubliceerd. In deze toezichtstrategie staat hoe de AP als toezichthouder te werk gaat.
De toezichtstrategie van de AP werkt de taakopvatting (verder) uit en omschrijft hoe de AP daar de komende jaren concreet invulling aan gaat geven. Wanneer komt de AP in actie? Hoe zien acties eruit? Hoe verhoudt de AP zich tot bedrijven, organisaties en overheden? Wat betekent de AP voor burgers?
Keurt de slager hier zijn eigen vlees? AP lijkt me namelijk coulanter voor privacy schendingen te zijn als het om de overheid gaat.