De Autoriteit Persoonsgegevens verscherpt het toezicht op de gemeente Eindhoven. De privacytoezichthouder ontving naar eigen zeggen signalen dat de gemeente datalekken niet of niet op tijd meldt, verplichte scans op privacyrisico’s achterwege laat en persoonsgegevens van burgers te lang bewaart. De AP is al langer in gesprek met de gemeente Eindhoven, vanwege verschillende aanwijzingen dat de gemeente niet goed omgaat met persoonsgegevens.

Zo meldde de functionaris gegevensbescherming (FG) van de gemeente in het jaarverslag over 2020 en 2021 dat de gemeente verplichte data protection impact assessments DPIA’s niet altijd (tijdig) uitvoerde en datalekken te laat meldde. Ook de Rekenkamercommissie van de gemeente waarschuwde dat de gemeente het privacybeleid niet op orde had en dat de gemeente de verplichte DPIA’s achterwege liet.

Zo zou de gemeente onder meer een milieupas en een druktemeter zonder verplichte DPIA's hebben ingevoerd en een proef hebben gedaan met een app die met een algoritme werkzoekenden koppelt aan vacatures. "Burgers moeten erop kunnen vertrouwen dat hun gemeente zorgvuldig met hun persoonsgegevens omgaat", zegt AP-vicevoorzitter Monique Verdier. "Je kunt als burger niet kiezen: de gemeente waarin je woont, verzamelt en gebruikt jouw persoonsgegevens."

Vorig jaar juli stuurde de Autoriteit Persoonsgegevens een brief naar de gemeente en afgelopen september vond er een gesprek plaats. De toezichthouder gaf de gemeente toen de opdracht een verbeterplan op te stellen. "Dat verbeterplan is onder de maat. Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde', aldus Verdier. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt.

Verdier stelt dat de gemeente de ernst en urgentie van de zorgen van de toezichthouder onvoldoende te erkennen. "Dit vraagt om extra aandacht van de AP." Als onderdeel van het strengere toezicht heeft de toezichthouder de gemeente opgedragen binnen twee maanden een rapportage te sturen met meer informatie en stukken over datalekken, DPIA’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Afhankelijk daarvan kunnen verdere stappen worden genomen.