Gemeente Hengelo worstelt met privacydoelen: ‘Meer investeringen nodig om inwoners te beschermen’
Uit het jaarrapport van de privacy-ambtenaar over afgelopen jaar blijkt dat de gemeente Hengelo iets zorgvuldiger omgaat met persoonsgegevens dan in 2021. De gemeente blijft echter ver verwijderd van het niveau dat men in 2026 wenst te halen, dus moeten alle zeilen worden bijgezet. Het proces om de aanbevelingen van de functionaris gegevensbescherming (FG) op te volgen wordt omschreven als 'complex en tijdrovend'.
Omgaan met persoonsgevens
Nederlandse gemeenten komen op heel veel verschillende manieren in aanraking met persoonsgegevens. Inwoners geven onder meer gegevens door voor registratie van hun paspoort en rijbewijs, die vervolgens op een veilige manier moeten worden verwerkt. In Nederland geldt de AVG (Algemene Verordening Gegevensbescherming) sinds 2018 om dit na te leven. Als de privacy van inwoners en eigen medewerkers niet goed wordt gewaarborgd, worden er boetes uitgedeeld.
De privacy-ambtenaar is een onafhankelijke toezichthouder en brengt elk jaar een rapport uit. In dit rapport staan aanbevelingen die opgevolgd moeten worden om de privacy en gegevens beter te beschermen. In Hengelo is de ambitie om in 2026 op een zogeheten 'volwassenheidsniveau' van 4 te zitten (zie kader). Op dit moment blijft Hengelo echter nog steken op 2.
Volwassenheidsniveaus
Het college hanteert de vijf volwassenheidsniveaus van de Informatiebeveiligingsdienst (IBD) van de VNG. Niveau 3 wordt beschouwd als het absolute minimumniveau dat bereikt zou moeten worden.
Verwerkingsregister
In maart van 2022 gaf de FG al een reeks adviezen om de gewenste privacydoelen te behalen, maar deze zijn aan het einde van het jaar lang niet allemaal opgevolgd. Een aanzienlijk deel van de huidige gebreken kunnen ook niet binnen één jaar worden opgelost. Volgens het college vraagt het meer inzet dan verwacht om te kunnen voldoen aan de eisen van de AVG. Onder meer het opzetten van een verwerkingsregister zorgt voor moeilijkheden.
In het verwerkingenregister staan alle taken die de gemeente uitvoert waarbij persoonsgegevens worden verwerkt. Per taak in het register moet antwoord gegeven kunnen worden op een aantal vragen. Voorbeelden zijn door wie de gegevens worden verwerkt, welke (derde) partijen erbij betrokken worden en hoe lang de gegevens worden bewaard. Met zo’n register is het voor de inwoners veel duidelijker wat er met hun gegevens gebeurt. Ook kunnen interne problemen met zo'n register veel sneller worden opgelost.
Structuur en overzicht
Veel zwakheden in de huidige omgang met privacy zitten hem in een gebrek aan overzicht. Het verwerkingsregister is één van de manieren om structuur aan te brengen. Andere zaken die beter kunnen zijn het uitvoeren van controles, het bijhouden van veranderingen in het systeem en de algemene verslaglegging. Op dit moment is het niet duidelijk genoeg opgeschreven wat er precies wordt uitgevoerd.
Meer kennis vereist
Ook op het gebied van kennis valt er nog veel te winnen bij de gemeente. Om de kennis op de werkvloer te verhogen wordt er gepleit om privacy-ambassadeurs aan te stellen. Deze kunnen de verschillende afdelingen voorlichten over datalekken: hoe ze kunnen worden herkend, hoe ze voorkomen kunnen worden en hoe men moet handelen als er wél een lek plaatsvind. Ook zegt de FG dat er extra aandacht moet komen voor nieuwe werknemers. Als zij niet de juiste instructies meekrijgen, loopt de gemeente een hoger risico op een datalek.
Gerelateerd
