AP stopt met geïntensiveerd toezicht op gemeente Eindhoven

De gemeente Eindhoven staat vanaf 1 maart niet meer onder geïntensiveerd toezicht van de Autoriteit Persoonsgegevens. Dat geïntensiveerde toezicht begon op 1 maart 2023, nadat de AP signalen kreeg dat de gemeente niet goed omging met persoonsgegevens en datalekken.

De privacytoezichthouder kreeg destijds signalen dat de gemeente datalekken niet of niet op tijd meldde. Ook werden persoonsgegevens structureel te lang bewaard en verzamelde en gebruikte de gemeente persoonsgegevens zonder eerst de privacyrisico's te analyseren. Zo'n analyse is wel verplicht.

Sindsdien heeft Eindhoven op verschillende vlakken stappen vooruit gezet, zegt de AP nu. Er is bijvoorbeeld een protocol opgezet voor de omgang met datalekken. Ook is de rol en positie van de functionaris gegevensbescherming vastgelegd en uitgewerkt. "Het is goed om te zien dat het college van B&W van Eindhoven inmiddels de handschoen heeft opgepakt en aantoonbare verbeteringen heeft doorgevoerd", zegt AP-vicevoorzitter Monique Verdier.

Het geïntensiveerde toezicht wordt daarom per 1 maart stopgezet, al zijn daar wel een aantal voorwaarden aan verbonden. Zo moet het nieuwe privacybeleid formeel nog worden vastgesteld en volgt er na uiterlijk zes maanden een evaluatiegesprek met de AP. Ook moet het college het nalevingsniveau van de AVG meten en laten valideren door een externe deskundige partij. Deze voorwaarden dienen volgens de AP als 'stimulans voor de gemeente om verder te blijven werken aan een adequaat niveau van privacy- en gegevensbescherming'.

IT-banen

Reacties (12)

armageddon_2k1 27 februari 2025 14:09

Als ik zo, uit directe kring, hoor hoe het bij instanties als de GGZ of andere gemeentes eraan toegaat met persoonsgegevens denk ik dat bijna niemand daaraan voldoet en is Eindhoven het eerste toevallige slachtoffer geweest.

bart1604 @armageddon_2k1 • 27 februari 2025 14:14

Ik kan natuurlijk niet over andere instanties praten, maar ik zelf werk ook op een IT afdeling van een gemeente. Ik zal niet zeggen dat wij 100% waterdicht zijn, dat kan namelijk ook niet. Maar wij doen er alles aan om persoonsgegevens te beschermen.

Daarnaast houden wij actief sessies en training om de gebruikers uit te leggen wat een datalek is bijvoorbeeld. We hebben processen in-place die duidelijk en eenvoudig zijn voor gebruikers wanneer een gebruiker denkt een datalek te zien. Dit willen we ook zo laagdrempelig mogelijk hebben, team gegevensbescherming beoordeeld dan wel of het echt zo is en we het moeten melden.

Daarnaast houden we geregeld pen-testen om onze infrastructuur te testen op lekken, waarmee we altijd weer "gaatjes" kunnen dichten.

kodak

Autoriteit Persoonsgegevens
Privacy
Nederland

@bart1604 • 27 februari 2025 15:21

Het probleem is meestal een verschil van inzicht wat in de praktijk genoeg is. Zoals het in overleg beslissen dat er een bewaartermijn kan zijn die niet aan andermans verwachtingen voldoet, of het om eigen redenen toch maar niet beschouwen als een datalek. Waarna de toezichthouder na klachten toch maar onderzoek komt doen en tot de conclusies komt dat er meer gedaan moet worden dan tot dan toe geregeld was.

Ik ben het met je eens dat moeite doen om het beschermen van persoonlijke gegevens op niveau te krijgen en houden belangrijk is. Maar ik mis waaruit blijkt dat wie meent genoeg verantwoordelijkheid te nemen dat in de praktijk ook aantoonbaar genoeg doet. Terwijl de toezichthouders niet duidelijk preventief onderzoek doen.

Santford T.net PowerMod @armageddon_2k1 • 28 februari 2025 06:22

In 2019 moest de gemeente Eindhoven van de Autoriteit Persoonsgegevens al alle stadspassen vervangen omdat deze in strijd waren met de privacy wet. Op de oude passen stond informatie als de volledige naam, geboortedatum en BSN van de bezitter. Soms afgedrukt, bij andere passen uit te lezen via de chip.

nieuws: Eindhoven moet stadspassen met bsn's vervangen wegens schending AVG

Tc99m @armageddon_2k1 • 27 februari 2025 15:02

...is Eindhoven het eerste toevallige slachtoffer geweest.

De eerste toevallig gepakte dader bedoel je.

Je hebt natuurlijk gelijk dat het waarschijnlijk op heel veel plekken misgaat, maar de AP heeft beperkte capaciteit en kan dus niet achter alle meldingen tegelijk aan. Dat Eindhoven een van de grootste gemeentes van het land is, heeft hier mogelijk in meegespeeld.

CivLord

@Tc99m • 28 februari 2025 11:03

Bij een dader heb je het over opzettelijk regels overtreden.

Tc99m @CivLord • 28 februari 2025 12:18

Een dader kan ook nalatig zijn (inbreuk op een recht van een ander, handelen of nalaten in strijd met een wettelijke plicht; https://wetboekplus.nl/bu...l-162-onrechtmatige-daad/).
Los daarvan kan er door de gemeente een bewuste keuze zijn gemaakt om verplichtingen die uit de AVG volgen te negeren.

Maar goed, ik had gehoopt dat de

wel aan zou geven dat ik hier een grapje maakte.

Andy Wachelder 27 februari 2025 18:42

Dan hebben ze in Eindhoven nog een hoop training voor de ambtenaren te geven... Een raadslid dat mailtjes standaard als CC'tjes verstuurd, zelfs nadat ze er op gewezen is dat dit niet volgens de AP-normen is.