De gemeente Eindhoven komt stevig onder vuur te liggen van de Autoriteit Persoonsgegevens (AP), de Nederlandse privacy-waakhond. De AP heeft besloten om het toezicht op de lichtstad te intensiveren vanwege verontrustende signalen dat de gemeente niet goed omgaat met persoonsgegevens. AP-vicevoorzitter Monique Verdier noemt het laakbaar dat juist de brainport van Nederland niet de nodige maatregelen treft om de privacy van burgers te waarborgen.

De AP heeft concrete aanwijzingen ontvangen dat de gemeente datalekken niet of te laat meldt, verplichte scans op privacyrisico’s niet uitvoert en persoonsgegevens van burgers te lang bewaart. Het door Eindhoven overgelegde verbeterplan heeft de zorgen van de AP niet weggenomen. Het is duidelijk dat de gemeente Eindhoven niet voldoet aan de wettelijke eisen die gesteld worden aan de bescherming van persoonsgegevens.

Het is niet de eerste keer dat de AP in gesprek is met de gemeente Eindhoven over de omgang met persoonsgegevens. De interne privacytoezichthouder van de gemeente, de functionaris gegevensbescherming (FG), heeft al in het jaarverslag over 2020 en 2021 alarm geslagen. Volgens de FG voert de gemeente de verplichte risicoanalyses, de zogeheten data protection impact assessments (dpia’s), niet altijd of niet op tijd uit. Ook het melden van datalekken laat te wensen over. De Rekenkamercommissie van de gemeente heeft ook gewaarschuwd dat het privacybeleid niet op orde is en dat de gemeente de verplichte analyses achterwege laat. Zo heeft de gemeente bijvoorbeeld een milieupas en een druktemeter ingevoerd zonder dat er een dpia is uitgevoerd. Hetzelfde geldt voor een proef met een app die met een algoritme werkzoekenden koppelt aan vacatures.

Monique Verdier heeft de gemeente Eindhoven gewaarschuwd dat het menens is en dat hardere maatregelen, zoals boetes, niet uitgesloten zijn als de gemeente niet snel voldoet aan de wettelijke eisen voor de bescherming van persoonsgegevens. De gemeente krijgt twee maanden de tijd om een rapportage op te stellen met meer informatie en stukken over datalekken, dpia’s, bewaartermijnen, de positie van de FG en enkele andere onderwerpen uit het verbeterplan. Het is van groot belang dat de gemeente Eindhoven de nodige maatregelen treft om de privacy van burgers te beschermen en daarmee verdere problemen met de AP voorkomt.