De gemeente Eindhoven heeft inwoners die het slachtoffer van een datalek werden soms helemaal niet geïnformeerd. In andere gevallen werden slachtoffers onvolledig of onduidelijk ingelicht. Dat meldt de interne Functionaris Gegevensbescherming (FG) in een onderzoek waarover het AD bericht. Voor het onderzoek werd een steekproef van zeventig geregistreerde datalekken onderzocht.
Bij acht datalekken werden slachtoffers helemaal niet gewaarschuwd. In elf andere gevallen gebeurde dit onvolledig, onduidelijk of tegenstrijdig. Zo maakt de gemeente niet altijd duidelijk of het datalek is verholpen, waardoor het voor slachtoffers niet duidelijk is wat de eventuele gevolgen kunnen zijn, aldus de FG. Die stelt ook vast dat het verplichte datalekkenregister van de gemeente niet overeenkomt met de meldingen die aan de Autoriteit Persoonsgegevens zijn gedaan. Het gaat dan bijvoorbeeld over het soort gegevens dat is gelekt en de mogelijke gevolgen.
Verder blijkt dat datalekken te laat worden geregistreerd. Dit moet binnen 72 uur gebeuren, maar bij een kwart van de zeventig datalekken gebeurde dit later. Sommige datalekken worden na weken of zelfs maanden geregistreerd. De registratie moeten vijf jaar worden bewaard, maar blijken eerder te worden verwijderd. De Functionaris Gegevensbescherming heeft dan ook zijn vragen of het register wel actueel en volledig is. Het stadsbestuur heeft aangegeven de aanbevelingen van de FG over te nemen en werkt aan een verbeterplan.
Eerder dit jaar besloot de Autoriteit Persoonsgegevens het toezicht op de gemeente Eindhoven te verscherpen. De privacytoezichthouder ontving naar eigen zeggen signalen dat de gemeente datalekken niet of niet op tijd meldt, verplichte scans op privacyrisico’s achterwege laat en persoonsgegevens van burgers te lang bewaart.
Deze posting is gelocked. Reageren is niet meer mogelijk.