De gemeente Eindhoven komt uiterlijk begin mei met een reactie op de Autoriteit Persoonsgegevens, die de stad vorige week onder verscherpt toezicht plaatste omdat het niet goed op datalekken reageert, verplichte scans op privacyrisico’s achterwege laat en persoonsgegevens van burgers te lang bewaart. GroenLinks en Volt roepen het college onder andere op tot de ontwikkeling van een privacycultuur waar Eindhoven zich mee kan onderscheiden.

De Autoriteit Persoonsgegevens (AP) ontving naar eigen zeggen meerdere signalen dat de gemeente Eindhoven niet goed omgaat met persoonsgegevens. Zo meldde de functionaris gegevensbescherming (FG) van de gemeente in het jaarverslag over 2020 en 2021 dat de gemeente verplichte data protection impact assessments DPIA’s niet altijd (tijdig) uitvoerde en datalekken te laat meldde. Ook de Rekenkamercommissie van de gemeente waarschuwde dat de gemeente het privacybeleid niet op orde had en dat de gemeente de verplichte DPIA’s achterwege liet.

Er vond vorig jaar overleg plaats tussen de gemeente en de Autoriteit Persoonsgegevens. De gemeente kwam vervolgens met een verbeterplan, maar dat is volgens de privacytoezichthouder onder de maat. "Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van DPIA’s niet op orde", aldus AP-vicevoorzitter Monique Verdier. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt.

De burgemeester en wethouders van Eindhoven zeggen dat ze de reactie van de Autoriteit Persoonsgegevens op het verbeterplan zorgvuldig zullen bestuderen en uiterlijk begin mei met een reactie komen (pdf). "Ondertussen werken we hard door aan de benoemde verbeterpunten die ook door de AP worden onderschreven."

Oppositiepartijen GroenLinks en Volt roepen op tot verdere verbeteringen. "Ik schrik van deze brief en het oordeel van de AP. Als overheid moeten we onze inwoners beschermen en daarmee ook de intieme en persoonlijke gegevens die we van hen verzamelen. Eindhoven heeft daarin een voorbeeldfunctie", zegt GroenLinks-gemeenteraadslid Eva de Bruijn. Ze wil onder andere van het college weten wanneer de gemeente de bescherming van de persoonsgegevens van Eindhovenaren volledig op orde heeft (pdf).

Volgens Volt-gemeenteraadslid Inge Teklenburg heeft de AP het niet alleen over processen die niet juist en tijdig zijn uitgevoerd, maar ook over de privacycultuur. "Ik maak me er geen zorgen over dat de vragen die de AP stelt netjes binnen twee maanden beantwoord zullen worden. Ik vermoed dat dit antwoord vooral procedureel van aard zal zijn", zo stelt ze. Teklenburg wil nu weten of het college bereid is om naar een privacycultuur toe te werken waarmee Eindhoven zich in de toekomst op een positieve manier kan onderscheiden. Het college verwacht de vragen op 30 maart te hebben beantwoord (pdf).