De privacywaakhond meldt dat de gemeente datalekken niet op tijd meldt, verplichte privacyscans niet uitvoert en persoonsgegevens van burgers te lang bewaart. AP-vicevoorzitter Monique Verdier vindt dat een ernstige zaak, omdat gemeentes veel gevoelige informatie van inwoners beheren.
Voor PrivacyTeam gaat de interesse vooral uit naar de DPIA’s. Hierover merkt de Autoriteit Persoonsgegevens het volgende op.
DPIA’s
In de FG jaarverslagen over 2020 en 2021 heeft de FG gesignaleerd dat er een achterstand bestaat in het houden van de verplichte DPIA’s. In het jaarverslag 2021 heeft de FG aangegeven dat er acht nieuwe of gewijzigde verwerkingen zijn gestart zonder dat de verplichte DPIA was uitgevoerd dan wel afgerond. Ook uw Rekenkamercommissie heeft gesignaleerd dat er verwerkingen zijn gestart zonder de (voorafgaande) afgeronde (wettelijk verplichte) DPIA. In uw verbeterplan merkt u op: “Eindhoven stelt verder vast dat er nog sprake is van een kleine achterstand in het uitvoeren van de DPIA’s”. Uit het verbeterplan blijkt echter dat u verschillende verwerkingen samenvoegt en dat u ter discussie stelt of de uitkomsten van de quickscans die u gebruikt om te bepalen of een DPIA wettelijk verplicht is wel juist zijn.
- Verstrek een overzicht over de periode vanaf 1 januari 2020 van de verwerkingen waarvan de gemeente Eindhoven van mening is dat daarvoor het opstellen van een DPIA verplicht is.
- Verstrek informatie over de wijze waarop u vaststelt of een DPIA wettelijk verplicht is.
- Geef daarbij per verwerking aan of en zo ja op welke datum die DPIA is vastgesteld.
- Geef daarbij per verwerking aan of en zo ja vanaf welke datum die verwerking is gestart.
- Voor welke verwerkingen is de laatste vastgestelde DPIA ouder dan 3 jaar, of is sinds 2018 geen DPIA (meer) vastgesteld?
PrivacyTeam constateert hiermee dat een Pre-DPIA toch altijd verplicht is. Zie hiervoor ook het Handboek DPIA’s [bestellen] waarin duidelijk wordt aangegeven dat een Pre-DPIA verplicht is bij elke nieuwe verwerkingsactiviteit om je af te vragen: is er sprake van een hoog risicoverwerking; ja/neen, en is een DPIA verplicht? Hiermee leg je vast wat de afweging is. De Autoriteit Persoonsgegevens geeft met de vragen aan een dergelijk document verplicht te stellen.
Daarnaast is de maximale ‘houdbaarheidsdatum’ van een DPIA drie (3) jaar. Daarna moet een gegevensverwerking toch echt opnieuw beoordeeld worden. In het handboek DPIA’s wordt hierover meer duidelijkheid gegeven. Wilt u het Handboek DPIA’s in uw Privacy Bibliotheek opnemen? Bestel het dan hier. Maak ook vrijblijvend kennis met onze DPIA software en maak gratis een Pre-DPIA rapport.