De gemeente moet op een groot aantal onderdelen nog stappen zetten om vol vertrouwen te kunnen stellen dat de persoonlijke gegevens van inwoners beschermd worden. Dat heeft burgemeester Martijn Vroom laten weten in een reactie op een rapport van de functionaris gegevensbescherming (FG); onafhankelijke toezichthouder die let op de toepassing en naleving van de Algemene verordening gegevensbescherming en de Wet politiegegevens.

De FG lichtte in 2024 de gemeente door daar waar het gaat om de bescherming van persoonlijke gegevens. Op een schaal van 1 tot 5 scoort de gemeente een 2,5 (50 procent). Tussen de gemeentelijke beleidsafdelingen bestaan echter grote verschillen, ook per thema. De scores lopen uiteen van 25 tot 79 procent. In vergelijking met 2021 ging het op twee terreinen achteruit: informatiebeveiliging (van 60 naar 35 procent) en het beleid inzake het bewaren en vernietigen van informatie (55 naar 44 procent).

In het stuk van de FG staan een aantal kritische noten. Zo zijn ambtenaren vaak niet bekend hoe een bepaald proces verloopt of zou moeten verlopen. Er ontbreekt veelal een procesbeschrijving, of medewerkers zijn niet bekend met bestaan ervan. Het komt ook voor dat er wel procesbeschrijvingen zijn opgesteld, maar dat er niet naar wordt gehandeld.

De gemeente is verplicht om bij risicovolle werkprocessen waarbij persoonsgegevens worden verwerkt een DPIA (het vooraf in kaart brengen van privacyrisico’s) uit te voeren. Er zijn er tot nu toe 4 gedaan daar waar er 34 ‘risicovolle processen’ binnen de gemeente zijn geïdentificeerd.

Elk proces binnen de gemeente dient belegd te zijn bij een proceseigenaar. Niet elke proceseigenaar weet wat van hem of haar precies verwacht wordt op het gebied van gegevensbescherming.

‘Steeds meer burgers weten de weg te vinden naar de gemeente met vragen over hun persoonsgegevens. De FG ervaart dit als positieve ontwikkeling. De organisatie moet in staat zijn om inkomende vragen of verzoeken over persoonsgegevens of datalekken te herkennen en aan de juiste personen toe te wijzen. Dit gaat nog te vaak verkeerd en hierdoor gaat kostbare tijd verloren. Het niet in acht nemen van wettelijke behandeltermijnen levert een overtreding van de privacywetten op. Dit moet worden voorkomen’, staat er in het stuk.

‘De privacyverklaring op de website is verouderd en te generiek. Voor de leesbaarheid dient de privacyverklaring meer op specifieke onderwerpen gericht te zijn. De privacyverklaring ziet momenteel alleen op de AVG en niet op de Wpg en voldoet hiermee niet aan de Wpg’.

‘Er ontbreekt informatie (althans de FG heeft hiervoor onvoldoende bewijs gezien), of is deze gebrekkig, over wat de gemeente doet met persoonsgegevens in het contact met de burger (denk hierbij aan het informeren tijdens een intake, brieven, folders, etcetera)’.

‘De gemeente verzamelt en gebruikt veel persoonsgegevens om haar taken uit te voeren. Zij maakt hiervan gebruik van dienstverleners/verwerkers. Een overzicht met bestaande afspraken ontbreekt. Onduidelijk is of afspraken nog actueel zijn, of er afspraken ontbreken en of ze worden nageleefd. De systematische controle hierop is onvoldoende. Hierdoor kan ook niet worden onderzocht of er afspraken zijn gemaakt over hoe er met de persoonsgegevens wordt omgegaan’.

‘Vooral bij gemeentelijke samenwerkingsverbanden is nog vaak is er onvoldoende aandacht voor de risico’s en is onvoldoende duidelijk waarvoor welke partij verantwoordelijk is’.

‘Er zijn in 2024 14 datalekken gemeld bij de FG. Het datalek dat het meest is gemeld is de situatie dat een brief of bestand met persoonsgegevens is verstuurd aan de verkeerde ontvanger(s). Van twee datalekken is melding gemaakt bij de Autoriteit Persoonsgegevens. Er wordt nog onvoldoende gemonitord of de preventieve maatregelen naar aanleiding van een datalek daadwerkelijk zijn genomen’.

De FG herhaalt de vijf grootste privacyrisico’s waar zij in 2023 ook al op wees:

= het management neemt onvoldoende verantwoordelijkheid voor gegevensbescherming, = het ontbreken van procesbeschrijvingen (en ernaar handelen),

= kennisachterstand op het gebied van informatiebeveiliging en privacy bij de ambtenaren, = gebrek aan het waarborgen van informatiebeveiliging en privacy,

= de gemeente is onvoldoende voorbereid op verplichtingen voortkomend uit wetgeving.

Ook verwijst zij naar in 2021 al gerapporteerde tekortkomingen die voor het grootste deel nog bestaan. De FG doet ook 19 nieuwe aanbevelingen voor verbetering van het beleid. Burgemeester Martijn Vroom stelt dat B&W daarmee aan de gang gaan. ‘Ook het college ziet dat er nog het nodige moet gebeuren om over de volle breedte een organisatie te hebben die privacyproof is’.