Intensief toezicht op gemeente Eindhoven stopt onder voorwaarden

Het geïntensiveerde toezicht van de AP begon op 1 maart 2023. Aanleiding was een reeks zorgelijke signalen over de manier waarop de gemeente Eindhoven omging met persoonsgegevens en privacy van mensen. Er bleek een verbetering nodig van de privacycultuur.

Punten van zorg

Het ging onder meer om signalen dat de gemeente datalekken niet of niet op tijd meldde. En dat gegevens van mensen in Eindhoven structureel te lang werden bewaard. Ook verzamelde en gebruikte de gemeente destijds persoonsgegevens zonder eerst de privacyrisico’s te analyseren, terwijl dat wel verplicht is.

Stappen gezet

De AP constateert dat de gemeente sindsdien op verschillende vlakken stappen vooruit heeft gezet. Zo is er nu een protocol voor de omgang met datalekken. Daarnaast is formeel de rol en positie van de functionaris gegevensbescherming (FG) vastgelegd en uitgewerkt. De FG is de interne privacytoezichthouder die onafhankelijk moet kunnen opereren en ook ongevraagd aan de bel moet kunnen trekken. Ook stelt de gemeente een nieuw privacybeleid op.

‘Als inwoner moet je erop kunnen vertrouwen dat je gemeente goed met je persoonlijke gegevens omgaat, ook omdat je voor allerlei praktische zaken in je leven op de gemeente aangewezen bent’, zegt AP-vicevoorzitter Monique Verdier. ‘Dat was aanvankelijk echt niet goed genoeg geregeld. Het is goed om te zien dat het college van B&W van Eindhoven inmiddels de handschoen heeft opgepakt en aantoonbare verbeteringen heeft doorgevoerd.’

Voorwaarden

Aan de beëindiging van het geïntensiveerde toezicht is wel een aantal voorwaarden verbonden. Die dienen als stimulans voor de gemeente om verder te blijven werken aan een adequaat niveau van privacy- en gegevensbescherming. Want er zijn ook nog stappen te gaan. Zo moet het nieuwe privacybeleid formeel nog worden vastgesteld. Daarnaast is er uiterlijk zes maanden na afloop van het versterkte toezicht een evaluatiegesprek met de AP. En het college moet het nalevingsniveau van de AVG meten en laten valideren door een externe deskundige partij.

Ook na beëindiging van het geïntensiveerd toezicht kan de AP op elk moment een onderzoek starten en eventueel sancties opleggen. Dat is natuurlijk niet waar de AP op uit is, legt Verdier uit: ‘De AP treedt streng op als dat nodig is. Maar regelmatig kunnen dingen ook verbeteren op een andere manier. Bijvoorbeeld door wat strenger toezicht, samen met advies, om een organisatie in de goede richting te helpen. Dat is wat de AP heeft gedaan bij de gemeente Eindhoven. Het is nu aan de gemeente om dit proces op een goede manier af te ronden. De AP blijft daarop toezien.’