De Autoriteit Persoonsgegevens (AP) stopt per maart 2025 met het intensieve toezicht op de gemeente Eindhoven. De gemeente heeft significante verbeteringen doorgevoerd in haar privacy- en gegevensbescherming, maar moet nog aan enkele voorwaarden voldoen.
Het verscherpte toezicht begon in maart 2023 na diverse zorgwekkende signalen over de omgang met persoonsgegevens. De gemeente bleek onder meer datalekken niet tijdig te melden en bewaarde gegevens structureel te lang, zo stelt de AP. Ook werden persoonsgegevens verzameld zonder voorafgaande risicoanalyse.
Verbeteringen in privacybeleid
De gemeente heeft inmiddels belangrijke stappen gezet. Er is een protocol opgesteld voor datalekken en de rol van de functionaris gegevensbescherming (FG) is formeel vastgelegd.
Aan het stopzetten van het intensieve toezicht zijn voorwaarden verbonden. Zo moet het nieuwe privacybeleid nog formeel worden vastgesteld en volgt er een evaluatiegesprek binnen zes maanden na beëindiging.
Toekomstig toezicht
AP-vicevoorzitter Monique Verdier benadrukt dat de toezichthouder ook na maart 2025 kan ingrijpen indien nodig. “Maar regelmatig kunnen dingen ook verbeteren op een andere manier. Bijvoorbeeld door wat strenger toezicht, samen met advies, om een organisatie in de goede richting te helpen”, aldus Verdier. “Dat is wat de AP heeft gedaan bij de gemeente Eindhoven. Het is nu aan de gemeente om dit proces op een goede manier af te ronden. De AP blijft daarop toezien.”
Terwijl de gemeente Eindhoven het gedrag volgens de AP heeft verbeterd, is dat elders niet het geval. Zo bekritiseerde de privacywaakhond het beleid omtrent datalekken bij de Belastingdienst. Hoewel de fiscus ook vooruitgang heeft geboekt, waren er in januari nog aandachtspunten gemeld door staatssecretaris Van Oostenbruggen van Financiën.
Lees ook: AP: Belastingdienst moet datalekkenbeleid verbeteren