Voor een groot deel van de persoonsgegevens die de gemeente Eindhoven al jarenlang gebruikt is nog steeds niet duidelijk of dat gebeurt volgens de regels van de nieuwe privacywet. In 70 procent van de gevallen met een hoog privacyrisico ontbreekt de verplichte privacytoets met bijbehorende maatregelen.

Functionaris Gegevensbescherming Marielle van den Bos schrijft dat in haar jaarrapportage die naar de gemeenteraad is gestuurd.

Bij de invoering van de privacywet AVG in 2018 is als vuistregel bepaald dat voor het reeds bestaande gebruik van persoonsgegevens uiterlijk in mei van dit jaar de juiste maatregelen moesten zijn genomen. Eindhoven heeft dat lang niet gehaald.

Van in totaal 119 privacytoetsen die Eindhoven moet uitvoeren, waren er begin 2021 nog slechts 35 afgerond. Het is daarom een raadsel of de privacy van inwoners en werknemers voldoende beschermd is.

Goedgekeurd zijn bijvoorbeeld het cameratoezicht in gemeentegebouwen, de inzet van de scanauto voor foutparkeerders, de salarisverwerking en het camerasysteem dat fietsers een 'groene golf' moet bieden. Welk gebruik van persoonsgegevens nog wacht op goedkeuring, staat niet genoemd.

Eerder werd wel bekend dat bij de verwerking van persoonsgegevens die Eindhoven van de Belastingdienst krijgt de verplichte inventarisatie van de privacyrisico's met bijbehorende maatregelen nog ontbreken. De kans is 'zeer groot' dat aanvullende en scherpere maatregelen nodig zijn.

Privacytoets onderschat

Volgens een verklaring van de gemeente is de verplichte privacytoets onderschat. "In de praktijk blijken deze complexer en meer tijd te te vragen dan in eerste instantie voorzien", staat in een brief aan de gemeenteraad.

De gemeente benadrukt dat mei 2021 geen harde deadline was. Volgens de gemeente was het een 'richtlijn'. Eindhoven is bezig met een inhaalslag. "Gezien de beschikbare capaciteit doen wij het maximaal haalbare."

Nieuwe toepassingen worden pas ingevoerd als de privacytoets met succes is afgerond zoals bij de bodycam voor handhavers.

Daling datalekken

In het jaarverslag suggereert ze bovendien dat de gemeente Eindhoven datalekken niet consequent registreert. En sommige ernstige datalekken werden niet op tijd gemeld bij de Autoriteit Persoonsgegevens (AP).

Tegen de landelijke trend neemt het aantal meldingen van datalekken in Eindhoven af. In 2018 registreerde de gemeente nog meer dan driehonderd datalekken. Na een verdere daling in 2019 is vorig jaar extra aandacht gegeven aan het belang om datalekken te registreren. Toch daalde het aantal in 2020 verder. De teller bleef steken op 189. Zeventien werden vanwege de ernst gemeld bij de Autoriteit Persoonsgegevens maar vijf daarvan (30 procent) niet binnen 72 uur.

De gemeente geeft toe dat het herkennen en tijdig aanmelden van een datalek inderdaad een groot aandachtspunt is.