AP: aanwijzingen dat Eindhoven niet goed omgaat met persoonsdata en datalekken

De Autoriteit Persoonsgegevens meldt dat het signalen heeft gekregen dat de gemeente Eindhoven datalekken niet of niet op tijd meldt en dat niet goed wordt omgegaan met persoonsgegevens. Op basis hiervan is het toezicht op de gemeente geïntensiveerd.

De Autoriteit Persoonsgegevens schrijft dat het al langer in gesprek is met Eindhoven vanwege de verschillende aanwijzingen dat de gemeente niet goed omgaat met onder meer persoonsgegevens en datalekken. Zo is er in juli vorig jaar een brief gestuurd en in september een gesprek geweest, waarna de AP opdracht gaf om met een verbeterplan te komen. De Brabantse gemeente heeft dat plan inmiddels ingediend, maar dat heeft de zorgen van de privacytoezichthouder niet weggenomen.

Monique Verdier, de vicevoorzitter van de AP, zegt dat het het verbeterplan 'onder de maat' is. "Zo lijkt het erop dat de gemeente zich niet houdt aan bewaartermijnen voor persoonsgegevens en lijkt het beleid voor het uitvoeren van data protection impact assessments (dpia's) niet op orde. Ook bestaan er zorgen over de omgang met datalekken en is het de vraag of de gemeente de adviezen van de FG naar behoren opvolgt. Al met al lijkt de gemeente de ernst en urgentie van de zorgen onvoldoende te erkennen."

Ze stelt dat burgers erop moeten kunnen vertrouwen dat hun gemeenten zorgvuldig omgaat met hun gegevens en dat gemeenten bovendien veel gevoelige gegevens van hun inwoners beheren. "Dan is het van groot belang dat een gemeente van tevoren controleert of het verzamelen en gebruiken van jouw persoonsgegevens mag en veilig kan. En dat een gemeente een datalek op tijd meldt, om snel maatregelen te kunnen nemen, de mensen die getroffen zijn te informeren en herhaling te voorkomen. Dat nota bene een van de grootste gemeenten, de ‘brainport’ van Nederland, dat niet op orde lijkt te hebben, is zeer ernstig."

De problemen werden enkele jaren geleden in het jaarverslag over 2020 en 2021 gemeld door de interne privacytoezichthouder van de gemeente, de functionaris gegevensbescherming. Daarin werd al geconstateerd dat de dpia's niet altijd tijdig werden uitgevoerd en dat datalekken te laat werden gemeld. De Rekenkamercommissie van Eindhoven waarschuwde eerder dat de gemeente het privacybeleid niet op orde had en dat het verplichte dpia's niet uitvoerde. Zo zou de gemeente onder andere een milieupas en een druktemeter hebben ingevoerd zonder deze risicoanalyse uit te voeren. Ook zou Eindhoven een proef met een app hebben gedaan dat een algoritme bevat dat werkzoekenden aan vacatures koppelt.

Als onderdeel van het verstevigde toezicht heeft de AP de gemeente opdracht gegeven om binnen twee maanden een rapportage te sturen met additionele informatie en documenten over datalekken, dpia's, bewaartermijnen, de positie van de functionaris gegevensbescherming en andere onderwerpen uit het verbeterplan. Zodra die rapportage is bekeken, beoordeelt de toezichthouder of er nadere stappen nodig zijn. "Daarbij houden wij nadrukkelijk de optie open om onze interventie op te schalen", zegt Verdier.

Door Joris Jansen

Redacteur

Feedback • 01-03-2023 12:32 23

01-03-2023 • 12:32

23

Lees meer

AP stopt met geïntensiveerd toezicht op gemeente Eindhoven
AP stopt met geïntensiveerd toezicht op gemeente Eindhoven Nieuws van 27 februari 2025
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
Gemeente Eindhoven getroffen door datalek, bsn burgers kort intern inzichtelijk
Gemeente Eindhoven getroffen door datalek, bsn burgers kort intern inzichtelijk Nieuws van 23 mei 2024
Ook Almere moet bij AP verantwoording afleggen over eigen privacytoezichthouder
Ook Almere moet bij AP verantwoording afleggen over eigen privacytoezichthouder Nieuws van 3 augustus 2023
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten
Privacytoezichthouder wil opheldering over frauderisicoalgoritmes bij gemeenten Nieuws van 16 mei 2023
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken Nieuws van 28 maart 2023
Amsterdamse Waterleidingduinen meldt datalek met kopers van wandelroutetickets
Amsterdamse Waterleidingduinen meldt datalek met kopers van wandelroutetickets Nieuws van 15 maart 2023
Privacywaakhond doet amper onderzoek naar datalekken die niet worden gemeld
Privacywaakhond doet amper onderzoek naar datalekken die niet worden gemeld Nieuws van 25 mei 2022
Meer producten en artikelen
Privacy Autoriteit Persoonsgegevens Datalek

Reacties (23)

-Moderatie-faq
23
23
12
0
0
6
Wijzig sortering
CPV 1 maart 2023 13:23
een proef met een app hebben gedaan dat een algoritme bevat
"algoritme" is gewoon al een vies woord geworden.
Wikipedia: "Een algoritme is een recept om wiskundige of informaticaproblemen op te lossen"

Nee, we gaan een app bouwen, die werkzoekenden random aan vacatures koppelt.
Oh, wacht, dat is ook een algoritme.
GertMenkel @CPV1 maart 2023 13:54
En ook een milieupas en een druktemeter zijn niet verkeerd. De zinnen ervoor geven aan wat het probleem was, namelijk het in acht nemen van de nodige privacywetgeving, en deze app en de andere genoemde zaken zijn dingen waarin dit probleem speelde.

Er is niks mis met algoritmes, maar algoritmes die persoonlijke informatie verwerken moeten nu eenmaal aan bepaalde eisen voldoen.

[Reactie gewijzigd door GertMenkel op 22 juli 2024 18:46]

Sandor_Clegane @CPV1 maart 2023 14:16
Algoritme is een vies woord geworden omdat het gebruikt wordt om je achter te verschuilen.
"We weten ook niet waarom deze video's getoond worden aan kinderen, we moeten het algoritme tweaken"
"We leggen beslag op je loon omdat het algoritme jou eruit heeft gepikt"
Etc. etc.

"Computer says no".
CUnknown @Sandor_Clegane1 maart 2023 14:47
Is 'Geautomatiseerde besluitvorming' niet gewoon het onderwerp van de AVG wat 'vies' wordt gevonden en in de volksmond nu algoritme is gaan heten?
Sandor_Clegane @CUnknown1 maart 2023 14:58
Ongetwijfeld, punt is dat het nu "algoritme" is geworden.
watje65 @Sandor_Clegane1 maart 2023 16:35
Het zou moeten zijn: "Computer supports Yes"...
jeroen79 @CPV1 maart 2023 17:20
Werkzoekenden random aan vacatures koppelen zou nog een slecht algoritme zijn ook.
Willekeurige matches zullen in de praktijk vaak niet passen.

De vraag is hoe een algoritme wordt ingezet en hoe transparant het is.
Als je niet kritisch bent op hoe het werkt dan kan het snel ongewenste dingen gaan doen.

Het is wel handig om je achter te verschuilen.
Geen enkel specifiek individu heeft immers verkeerde input geleverd of verkeerd op de output gehandeld.
CAPSLOCK2000
1 maart 2023 13:16
Eindhoven is een techniek stad en je merkt dat de gemeente dat wil uitstralen en graag mee doet aan innovatieve projecten. Opzich is dat natuurlijk alleen maar aan te moedigen. Er zijn in de stad ook genoeg studenten en start-ups die vooruitstrevende plannen hebben.

Uiteraard presenteren die hun eigen plannen allemaal in het beste daglicht. Helaas zijn politici (net als de meeste mensen) in het algemeen niet in staat om ook de gevaren en de risico's te zien. Zeker als het om experimenten gaat is het erg makkelijk om dat te denken "ach, privacy, daar kijken we later wel naar, we hebben immers geen slechte bedoelingen". Voor een enkel project is dat ook wel te begrijpen. Maar ja, er zijn misschien wel 100 van dat soort projectjes tegelijk actief. Als die allemaal een beetje te veel data verzamelen is dat opgeteld toch een hele hoop.

Het positieve aan het verhaal is wel dát er een functionaris gegevensbescherming is die hier voor heeft gewaarschuwd. Er is tenminste iemand binnen de gemeente die het wel ziet. Hopelijk wordt daar nu wat beter naar geluisterd.
ataryan @CAPSLOCK20001 maart 2023 15:36
de functie is er op papier want proces. maar dat hoeft niet te betekenen of en dat die vervuld wordt. een zzp'er kan dit ff op papier gezet hebben en hard het gemeentehuis uitgerent zijn. just sayin' ... https://www.computable.nl...p-van-cisos-verwacht.html
Het niet naleven van veiligheidsvoorschriften en te weinig support vanuit de ondernemingsleiding zijn fnuikend. Als cybersecurity in organisaties onvoldoende aandacht krijgt, zullen talenten snel vertrekken naar functies waar ze wel worden gewaardeerd en invloed kunnen hebben.

[Reactie gewijzigd door ataryan op 22 juli 2024 18:46]

watje65 @ataryan1 maart 2023 16:33
Het hebben van een FG is voor de gemeente niet vrijblijvend: https://avgb.nl/art-37-avg/
De FG heeft een onafhankelijke en beschermde positie (voor wat het waard is: je vind altijd wel een stok...)
En in tegenstelling tot bijvoorbeeld een CISO is de FG niet verantwoordelijk voor de staat van de privacy binnen de gemeente. Wél heeft de FG de verplichting te werken aan het privacybewustzijn (daar is kennelijk nog zat te doen)en heeft hij/zij advies en auditbevoegdheden. Dus niet persé een schaap in wolfskleren, maar eentje die het de bestuurders wel degelijk lastig kan maken.

De FG adviseert de bestuurder een melding te maken bij de AP maar kan dit ook zelfstandig doen. Dat laatste is niet altijd bevorderlijk voor een goede relatie met de bestuurder maar hé, je leeft maar één keer ;-)
ataryan @watje653 maart 2023 11:03
'k zie gelijk meetings met veel kopjes koffie/thee/havermelk, wat aantekeningen en ... dat was 'm weer ! geen actie in de taxi want rammelen aan de status quo is slecht voor het imago en het pensioen. zeker in een gemeente onder de rivieren
marzman95 1 maart 2023 12:52
Het begon lang, heel lang, geleden bij de stadspassen die de BSN's in normale tekst op de pas en in de chip hadden staan. Deze kon je zo uitlezen in de binnenstad van bezoekers met de juiste apparatuur. Blij dat we daarvan af zijn.
BeefHazard @marzman951 maart 2023 17:58
Nog mooier is dat die stadspas volgens mij ook de interne toegangspas van de gemeente was. Dus als je rond een uur of 12 een rondje in de buurt van het Stadhuisplein liep, kon je zo de BSN's van een paar ambtenaren opslurpen. Die dragen hem ook altijd lekker duidelijk zichtbaar :+

[Reactie gewijzigd door BeefHazard op 22 juli 2024 18:46]

DigiDaan 1 maart 2023 14:22
"Eindhoven de lekste" zeggen ze zelf niet voor niets ;-)
jpsch 1 maart 2023 12:35
Eindhoven, interessante gemeente voor het buitenland.
Crahsystor @jpsch1 maart 2023 12:51
Geen idee waarom je zoveel negatieve mods krijgt. Een gemeente met veel hoogopgeleiden van over de hele wereld, veel toegang tot onderzoeken van zeer hoog niveau en blijkbaar een lokale overheid die er voor kiest om gegevens van die personen slecht te beveiligen. Klinkt als een uitstekend doelwit informatie te verzamelen om deze personen nader te volgen of onder druk te zetten. Er worden genoeg spionnen opgepakt in de buurt, dus fictief de dreiging allerminst.
Anoniem: 85014 @Crahsystor1 maart 2023 13:03
Maar dat wil niet zeggen dat wij die daar als EU inwoner werken en geen spion zijn, geen recht hebben op privacy. En ook Chinezen die geen spion zijn en ook zich niet bezig houden met criminele zaken, hebben recht op de privacy die gegarandeerd is door op het Nederlandse grondgebied te vertoeven. Bovendien gaat het hier ook over Nederlandse burgers die ook al geen spion zijn en die dus recht hebben op privacy.

En eigenlijk gaat het helemaal niet over spionnen. Spionnen worden opgevolgd door de veiligheidsdiensten. Niet door de gemeente Eindhoven.
Aldy @Anoniem: 850141 maart 2023 13:43
Ik geloof niet dat Crashsystor dit bedoelt. Volgens mij heeft hij het erover dat Eindhoven juist interessant is voor spionnen omdat in Eindhoven de gegevens van de personen die in Eindhoven werken en/of wonen praktisch op straat liggen. Je hoeft het alleen maar op te rapen.
Crahsystor @Aldy1 maart 2023 13:51
Precies.
Munchkin @Crahsystor1 maart 2023 13:01
Je zou bijna kunnen bedenken dat er machthebbers zijn voorzien van financiele prikkels om bewust wat interesante informatie beschikbaar te houden voor belangstellenden :+
vickypollard @Munchkin1 maart 2023 13:56
Schrijf nooit aan kwade opzet toe wat afdoende verklaard kan worden door domheid.
Dark Angel 58 1 maart 2023 14:16
Maar ligt het ook niet aan AP, omdat ze mogelijk het systeem / procedures zo ingewikkeld hebben gemaakt dat niemand het snapt :')
TweakerCarlo 2 maart 2023 19:55
Stratumseind is al jaren lang de proeftuin voor crowdmanagement. Van het sluiten van routes tot mood bepalend licht. Best vet. Ik weet niet of het nu nog zo is, maar het controle centrum zit/zat ooit in de ruimte boven de oude rechtbank.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq