De gemeente Eindhoven komt onder een vergrootglas te liggen van de Autoriteit Persoonsgegevens (AP). De privacy-waakhond intensiveert de toezicht op de lichtstad. AP-vicevoorzitter Monique Verdier vindt het laakbaar dat uitgerekend de brainport van Nederland zijn zaken niet op orde heeft.

De AP heeft signalen dat de gemeente datalekken niet of niet op tijd meldt, verplichte scans op privacyrisico’s achterwege laat en persoonsgegevens van burgers te lang bewaart. Het door Eindhoven overgelegde verbeterplan heeft de zorgen van de AP niet weggenomen.

De AP is al langer in gesprek met de gemeente Eindhoven, vanwege verschillende aanwijzingen dat de gemeente niet goed omgaat met persoonsgegevens. De gemeente is van vele kanten gewaarschuwd. Zo trok de interne privacytoezichthouder van de gemeente, de functionaris gegevensbescherming (FG) in het jaarverslag over 2020 en 2021 al aan de alarmbel. De gemeente zou verplichte risicoanalyses, de zogeheten data protection impact assessments (dpia’s), niet altijd (tijdig) uitvoeren. Verder heeft de gemeente er een handje van datalekken te laat te melden. Ook de Rekenkamercommissie van de gemeente waarschuwde dat het privacybeleid niet op orde was en dat de gemeente de verplichte analyses achterwege liet. De gemeente zou onder meer een milieupas en een druktemeter hebben ingevoerd zonder die risicoanalyse te doen. Hetzelfde geldt voor een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures.

Monique Verdier heeft de gemeente duidelijk gemaakt dat nu menens is. Het verbeterplan was ver onder de maat. Eindhoven krijgt twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, dpia’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Als de gemeente de AP onvoldoende tegemoet komt, sluit Verdier hardere maatregelen zoals boetes niet uit.

Lees het volledige artikel op computable.nl