Autoriteit Persoonsgegevens verzwaart toezicht op gemeente

De Autoriteit Persoonsgegevens (AP) heeft besloten het toezicht op een, niet nader genoemde, gemeente te verzwaren. De AP heeft zorgen of deze gemeente de (gevoelige) gegevens van de inwoners wel voldoende beschermt. De betreffende gemeente wordt daarom verplicht elke drie maanden een uitgebreide rapportage aan de AP te verstrekken. Aanleiding zijn signalen over overtredingen van de privacywet. Verder constateert de lokale Rekenkamer dat er na dik twee jaar AVG nog geen privacybeleid was vastgesteld.

Ook stelt het rapport van de Rekenkamer dat de zowel de onafhankelijkheid als de informatiepositie van de interne toezichthouder, de Functionaris voor Gegevensbescherming (FG), onvoldoende waren geborgd. De wet verbindt duidelijke eisen aan de positionering van een FG. Zo is het essentieel dat de FG onafhankelijk kan toezien op de naleving van de AVG in de betreffende organisatie.

Gemeenteraad en College B&W
De AP heeft gesprekken gevoerd met zowel de gemeenteraad als het gemeentebestuur. De AP heeft de burgemeester aangesproken op de gang van zaken en het belang van juiste inrichting van intern toezicht onderstreept. Dit heeft de zorgen over de positie van de FG niet weggenomen. Een FG moet op onafhankelijke wijze kunnen functioneren om erop toe te zien dat de rechten van burgers effectief kunnen worden uitgeoefend. Het is aan de gemeente om aan de slag te gaan met de risico’s die de FG signaleert. De AP heeft besloten een jaar lang de vinger aan de pols te houden en het AVG-beleid van deze gemeente nauwgezet te volgen.

Verzwaren van toezicht
Het is de bevoegdheid van een inspectie of een toezichthouder te bepalen welke vorm en welke intensiteit van toezicht noodzakelijk is. Om de (gevoelige) informatie van inwoners te beschermen, is snelheid essentieel. Daarom is besloten voor een interventie die direct ingezet kan worden; het verzwaren van het toezicht. De AP heeft de gemeente gesommeerd om een jaar lang elk kwartaal een voortgangsrapportage te sturen over de maatregelen die de gemeente neemt om aan de AVG te voldoen. Het doel is dat de gemeente zorgdraagt voor een veilige en betrouwbare verwerking van persoonsgegevens van de inwoners van deze gemeente. De AP sluit een nader onderzoek niet uit. Dat kost echter veel tijd. Inmiddels heeft de gemeente de eerste rapportage aangeleverd.

Intern toezicht verplicht
Een gemeente is verantwoordelijk voor het opstellen en het uitvoeren van het privacybeleid. Net als alle overheden is een gemeente verplicht om een FG aan te stellen; een onafhankelijke, interne privacy-functionaris. De FG ziet toe op de naleving van het privacybeleid en adviseert over privacyrisico’s. Voorkomen is beter dan genezen. Daarom moet de FG in een vroeg stadium betrokken worden en toegang hebben tot alle relevante informatie. Op die manier wordt de organisatie in staat gesteld maatregelen te nemen en de persoonsgegevens van burgers en klanten te beschermen.

Kwart gemeenten neemt privacy niet serieus
Het is de eerste keer dat de Autoriteit Persoonsgegevens het toezicht op een gemeente op dergelijke wijze aanscherpt, en het lijkt er dan ook op dat de toezichthoudende autoriteit met de maatregel een voorbeeld wil stellen voor andere gemeenten en overheidsinstanties.

Hoewel de AVG duidelijk is over de onafhankelijke positie van de FG, blijkt uit een onderzoek van Argos uit 2020 namelijk dat deze regels met betrekking tot de interne toezichthouder lang niet binnen alle gemeenten worden nageleefd. Met hun kritische rapporten wordt veelal niets gedaan, en vaak zit de FG te laag in de organisatie om invloed te kunnen uitoefenen op de besluitvorming.

Van de geïnterviewde FGs geeft veertig procent aan dat hun gemeente niet genoeg doet om de persoonsgegevens van de inwoners te beschermen. Twintig procent stelt zelfs actief te worden tegengewerkt door de eigen organisatie en geeft aan zich zorgen te maken over de bescherming van persoonsgegevens.