De gemeente heeft zeker tot eind 2022, mogelijk nog langer, alleen op informele manier getracht aan de Algemene verordening gegevensbescherming (AVG) te voldoen; een wet die sinds 2018 geldt en die regelt hoe overheden moeten omgaan met gegevens van burgers. Er was alleen een summier beleidsplan met algemene gedragsregels voor ambtenaren doch geen plan van aanpak, geen structuur met maatregelen, geen evaluatie en geen controle anders dan hap-snap door de functionaris gegevensbescherming (FG).

Dat staat in het rapport Nulmeting AVG dat in augustus 2022 is opgemaakt. Het stuk is nu door de gemeente vrijgegeven. Op dat moment voldeed de gemeente op tweederde van de punten niet aan de AVG.

Gesteld wordt dat de ambtenaren niet opgeleid en getraind werden over de AVG en wat die inhoudt. Er was geen register over de wijze waarop privégegevens van inwoners werden verwerkt. Risico’s en te nemen maatregelen waren niet in beeld.

Inwoners waarvan gegevens werden verwerkt kregen alleen een algemene verklaring met daarin hun rechten inzake die verwerking, doch hoe zij die rechten konden uitoefenen kregen ze niet te horen. Er was ook geen beleid op dat punt. Verzoeken tot inzage en/of wijziging waren er wel doch die werden niet vastgelegd en er vond ook geen evaluatie plaats.

De gemeente had geen grip op convenanten met derden die de privégegevens van inwoners mochten gebruiken. Die ‘verwerkers’ werden ook niet nagetrokken.

Inzake datalekken wordt gesteld dat ambtenaren niet goed geïnformeerd werden wat daarmee te doen. Er was ook geen register van datalekken tussen 2020 en medio 2022.Het aantal lekken is daarmee niet bekend. Maatregelen om datalekken te voorkomen werden alleen af en toe door de afdeling Informatietechnologie (IT) genomen.

De FG heeft B&W begin 2024 in een nu ook vrijgegeven rapportage over 2023 gewaarschuwd dat er nog steeds grote risico’s waren bij informatiebeveiliging en privacy:

= het management neemt onvoldoende verantwoordelijkheid voor privacy en informatiebeveiliging. Gevolgen worden onvoldoende serieus genomen;

= er ontbreken van procesbeschrijvingen waardoor controles niet goed uit te voeren zijn;

= er is een kennisachterstand bij de ambtenaren. Hierdoor weten die onvoldoende wat ze moeten doen bij privacy of informatiebeveiligingsvragen;

= informatiebeveiliging en privacy zijn niet goed gewaarborgd;

= de gemeente is onvoldoende voorbereid op (gewijzigde) verplichtingen voortkomend uit (toekomstige) wetgeving. Hiermee loopt de gemeente het risico dat wetten niet worden nageleefd.

Overigens waren er in 2023 twintig datalekken; vooral het verzenden van stukken met privégegevens naar de verkeerde adressanten.

Vlietnieuws publiceerde in maart de rapportage van de FG over 2024: https://vlietnieuws.nl/2025/03/24/bescherming-privacy-ondermaats/  Uit dat stuk bleek dat de bescherming van privégegevens van inwoners nog steeds veel te wensen over laat. Uit het verleden is bekend dat de gemeente minstens twee maal de AVG overtrad: bij het toestaan dat mobiele telefoons van bezoekers van het Huygenskwartier Voorburg werden uitgepeild, en bij een onderzoek naar extremisme in de gemeente dat zich vooral richtte op de moskee in Leidschendam.