De functionaris gegevensbescherming (FG) en chief information security officer (CISO) zijn binnen het gemeentelijk apparaat een onderzoek gestart naar de gang van zaken bij een door een extern ingehuurd bureau, ESI, uitgevoerde enquête onder inwoners over het evenementenbeleid.

Dat heeft wethouder Astrid van Eekelen (VVD) bekend gemaakt in antwoorden op vragen van Aandacht-LV over de mate waarin de privacy van de deelnemers daarbij was gewaarborgd. De wethouder erkent dat er daarbij het nodige is misgegaan. Het interne beleid wordt aangescherpt.

ESI werd gekozen op voorstel van een extern ingehuurde projectleider. Die werkte zelf bij ESI. Normaliter werkt de gemeente in dit soort zaken met onderzoeksplatform Enalyzer. ‘Enalyzer wordt binnen de gemeente ingezet voor grootschalige en planmatig voorbereide onderzoeken. In dit traject ging het om een ondersteunend instrument binnen een lopend beleidsproces, waarbij het ophalen van meningen van inwoners diende ter verrijking van de beleidsontwikkeling’, aldus Van Eekelen. ‘Achteraf blijkt dat het onderzoeksplatform ook bij dit type trajecten meer flexibiliteit kan bieden in voorbereiding en doorlooptijd, zonder concessies te doen aan privacy en toegankelijkheid. Dit inzicht wordt betrokken bij de verdere aanscherping van de werkwijze voor toekomstige trajecten’.

‘Voor het ophalen van meningen van inwoners is gebruikgemaakt van een digitaal enquête-instrument dat door ESI vaker wordt ingezet. Bij deze keuze is meegewogen dat het ging om een tijdelijke enquête met een beperkte omvang en een lage mate van gevoeligheid van de gegevens (mening en e-mailadres). Destijds is ingeschat dat deze verwerkingswijze, in combinatie met de geldende privacyvoorwaarden en aanvullende afspraken over gegevensgebruik en vernietiging, een aanvaardbaar risico vormde. Achteraf bezien blijkt dat de afwegingen rond privacy, dataveiligheid en toegankelijkheid explicieter en eerder in het proces hadden moeten worden vastgelegd’.

Van Eekelen erkent dat er niet is stil gestaan bij het feit dat bij gebruik van Google Forms de gegevens worden opgeslagen in de Google-omgeving van de maker van het formulier, in dit geval ESI. ‘Het college erkent dat dit aspect onderdeel had moeten zijn van de voorafgaande afwegingen rondom privacy, dataveiligheid en toegankelijkheid. De gemeente is als verwerkingsverantwoordelijke eindverantwoordelijk voor deze borging. Naar aanleiding van deze casus wordt de werkwijze aangescherpt, zodat dergelijke aspecten bij toekomstige trajecten vooraf expliciet worden beoordeeld en vastgelegd, met betrokkenheid van de privacy officer, de functionaris gegevensbescherming en de chief information officer’.

Afspraken met ESI over het bewaren van opgehaalde gegevens zijn destijds mondeling gemaakt. Van Eekelen nu: ‘Deze afspraken hadden expliciet schriftelijk moeten worden vastgelegd, zodat zij ook formeel aantoonbaar zijn, inmiddels is dat wel schriftelijk bevestigd’.

De gemeente sloot ook geen ‘verwerkersovereenkomst’ met ESI. De wethouder: Het uitgangspunt van de gemeente is dat bij verwerking van persoonsgegevens door externe partijen een verwerkersovereenkomst wordt afgesloten. Dit had bij de start van het traject gemoeten. Dit is niet gebeurd en deze inzichten worden meegenomen bij het verder aanscherpen van het naleven van de werkwijze’.

‘De gegevensverwerking vond plaats binnen de algemene contractuele kaders en op basis van het privacy statement van ESI, aangevuld met uitvoeringsafspraken. De AVG (Algemene verordening gegevensbescherming) schrijft voor dat deze afspraken expliciet en schriftelijk worden vastgelegd. Dit wordt onderkend en vormt aanleiding om de borging hiervan bij de start van trajecten verder te versterken’.

Een verwijzing naar het ‘privacy statement’ van ESI deugde ook niet. Van Eekelen: ‘Een privacy statement voorziet in algemene informatie richting betrokkenen en vervangt geen trajectspecifieke afspraken of een verwerkersovereenkomst zoals bedoeld in artikel 28 AVG’.

‘Voor toekomstige trajecten zal vooraf explicieter worden geborgd dat het inkoopbeleid en de daaruit volgende privacyafspraken moeten worden nageleefd en volledig en formeel zijn vastgelegd. Deze casus wordt gezien als een voorbeeld voor toekomstige opdrachtverlening en inkoopprocessen en waaruit lering kan worden getrokken’.

‘Het uitgangspunt van de gemeente is dat bij verwerking van persoonsgegevens door externe partijen een verwerkersovereenkomst wordt afgesloten. Dit is ook opgenomen in het gemeentelijk inkoopbeleid. Hiermee zou de gemeentelijke organisatie bekend moeten zijn. Uit deze casus is duidelijk geworden dat het proces niet is gevolgd, de formele vastlegging van deze afspraken explicieter had moeten plaatsvinden om volledig te voldoen aan de vereisten van de AVG. Deze constatering onderstreept het belang van duidelijke naleving en borging van privacyafspraken bij de start van trajecten’.

‘De gemeente hanteert het Inkoop- en Contractmanagementbeleid en standaard verwerkersovereenkomsten. Deze documenten vormen het kader voor de omgang met persoonsgegevens bij externe opdrachten. In aanvulling daarop worden per traject specifieke afspraken gemaakt. De toepassing van deze kaders en afspraken zal voortaan explicieter worden geborgd bij de start van opdrachten’.

Behalve het interne onderzoek vinden gesprekken plaats op directieniveau tussen CISO en FG en directieleden; worden ambtenaren geïnformeerd over het volgen van het gemeentelijk inkoopbeleid; wordt vastgelegd dat er een verwerkersovereenkomst bij de start van externe opdrachten moet zijn; toetst de privacy officer voortaan vooraf bij onderzoeken en participatietrajecten waarbij persoonsgegevens worden verwerkt; worden doelbinding, bewaartermijnen en verwijderafspraken vastgelegd; wordt privacytoetsing binnen het inkoop- en opdrachtverleningsproces vastgelegd. ‘Deze verbeteringen zijn gericht op structurele borging en het voorkomen van herhaling’, aldus Van Eekelen.