Gemeente beschermt privacy Renkumse inwoners onvoldoende

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. Veel verenigingen, winkeliers en ondernemers zijn druk bezig geweest om aan de regelgeving te voldoen. Reden

voor GemeenteBelangen om kritisch te kijken naar de gemeente:  hoe gaat Renkum om met de privacy bescherming van onze inwoners?

GB constateert een schokkende achterstand en heeft daarom de volgende, uitgebreide set vragen gesteld aan het college van burgemeester en wethouders. De beantwoording door het college is hier te lezen: GB-vragen-Privacy-en-gegevensbescherming_BEANTWOORDING.pdf


Vragen Privacy en Gegevensbescherming Gemeente Renkum

Een gemeente heeft een belangrijke taak als het gaat om ondersteuning van de inwoners. Als gevolg hiervan ontkomt de gemeente er niet aan om gegevens van de inwoners te registreren, beheren en beveiligen. Het verzamelen van deze gegevens gebeurd op diverse afdelingen en met diverse redenen. De vraag die rijst is of onze gemeente in staat is deze data te beheren volgens de daarvoor in het leven geroepen Europese AVG, welke per 25 mei 2018 actief zal zijn.

  1. Is onze gemeente klaar om te voldoen aan deze regelgeving?

Wij als GemeenteBelangen schrikken van de achterstand die Renkum heeft op het gebied van Privacy bescherming. Renkum heeft gekozen voor een risicoanalyse “vanuit de Menskant en een richting aan de lerende praktijk”. In de praktijk blijkt dat medewerkers nog onvoldoende kennis hebben van de risico’s, systemen te vrijblijvend omgaan met informatie en er geen borging is van de kwaliteit van privacy bescherming.

Enkel de melding dat contractuele afspraken niet helder zijn of nog overeenstemmen met de huidige regelgeving, baart ons zorgen. Het (nog) ontbreken van een “Privacy Officer” (verplicht met het ingaan van de AVG op 25-5) maakt dat er onvoldoende “Ownership” is om per onderdeel risico’s in kaart te brengen en per urgentie te elimineren. Vooral in het sociaal domein is nog geen sprake van een samenhangende geheel van rollen en afspraken die borgen dat privacyaspecten goed geborgd blijven in de uitvoering en dat ontwikkeling plaatsvindt.

In mei 2015 is gestart met een RTA werkgroep ICT en Privacy, advies uitgebracht in juni 2016.  Een half jaar later (oktober 2016) is een motie vreemd aangenomen om een QuickScan uit te voeren, omdat uit de RTA naar voren kwam dat er GEEN Privacy Impact Assesments voorhanden waren. Deze QuickScan heeft vervolgens 4 maanden in beslag genomen. Hieruit zijn diverse adviezen naar voren gekomen. Ondertussen is het mei 2018 en is de AVG wet per 25-mei actief en wordt er aangegeven dat wij NIET 100% privacy proof zijn. Onverklaarbaar dat na 2 jaar er nog zoveel werk ligt.

Tijdens de raadsvergadering van 19 oktober 2016 is een motie unaniem aangenomen waarin de opdracht is gegeven aan het college om uiterlijk in kwartaal 2017 een kadernota Privacy aan de raad voor te leggen. Deze Kadernota is nooit voorgelegd aan de raad, en met de komst van de AVG op 25-5-2018 is de gemeente daarmee dus “Te Laat”. Hierdoor loopt de gemeente (naast de risico’s voor datalekken van persoonlijke gegevens) boetes opgelegd te krijgen.

  1. Hoe gaat het college zorgen dat uiterlijk eind juni 2018 een kadernota wordt voorgelegd aan de raad?
  2. Door een privacybeleid en reglement te publiceren maakt de gemeente duidelijk op welke manier zij met persoonsgegevens omgaat, en welke uitgangspunten daarbij gelden. Welk privacy beleid wil onze gemeente gaan voeren?

De gemeente is verplicht altijd transparant te zijn over de gegevens die zij van inwoners verwerkt. Uit de Quick Scan blijkt dat wij onvoldoende helder maken aan onze inwoners hoe wij dit doen. Ook is er onvoldoende informatie op onze gemeentelijke site ter informatie van onze inwoners aanwezig.

  1. Welke stappen gaat de gemeente, op korte termijn, zetten om deze transparantie naar een acceptabel niveau te krijgen en onze inwoners te voorzien van de informatie waarop zij van rechtswegen recht op hebben?
  2. Hoe wordt het beleid gevoerd dat oud medewerkers volledig worden uitgesloten van inzagen in gegevens, welke protocollen zijn er om dit te borgen.
  3. Hoe is geborgd dat volledig inzichtelijk is waar persoonsdata wordt weggeschreven en welke systemen toegang hebben tot deze data?

Wanneer te veel data wordt opgeslagen is het mogelijk verbanden te leggen welke mogelijkerwijs tot 1 enkele persoon terug zijn te herleiden.

  1. In hoeverre is het geborgd dat herleiding van persoonlijke gegevens binnen geaggregeerde en geanonimiseerde data onmogelijk is?

Gesteld wordt dat “Wij willen ons ontwikkelen vanuit het eigenaarschap van begrip en eigen verantwoordelijkheid.”. Uit de QuickScan komt naar voren “dat wij ons bevinden in een fase tussen bewust incompetent en bewust competent, waardoor er een positief kritisch lerende houding is.”. Impliciet wordt hier dus aangegeven dat gegevensbeveiliging deels verantwoordelijkheid is van de mensen die er mee om gaan, doordat er nog een deels incompetentie bestaat is er dus een verhoogd risico dat data door mensen bewust of onbewust voor de verkeerde doeleinde wordt gebruikt.

  1. Welke middelen gaat het college inzetten om het competentie niveau van alle medewerkers naar een voldoende niveau te tillen? En hoe wordt omgegaan met medewerkers die niet het juiste competentie niveau kunnen behalen?

Contracten met partners zijn vastgelegd, uit de QuickScan blijkt echter dat deze onvoldoende helder zijn: “Inmiddels zijn deze contracten al een paar jaar geleden opgesteld en geïnterviewde gaven aan dat ‘anderen vermoedelijk wel weten hoe afspraken zijn vastgelegd’. Het is niet altijd helder of contracten en convenanten in het sociaal domein up to date zijn met de laatste inzichten. Over de hele organisatie is niet helder wat afspraken over privacy zijn als partners gaan samenwerken, fuseren of failliet gaan. Ook is niet bepaald of de gemeente in een dergelijke situatie verantwoordelijk is. ‘Daar zijn geen afspraken over’.”

  1. Welke stappen gaat het college zetten om alle contracten met partners te herzien en waar nodig aanpassen een de geldende regelgeving?

We hopen op een spoedige beantwoording van onze vragen vóór aanvang van de Raadsvergadering van 31 mei 2018.

Namens de fractie van GemeenteBelangen,

Daniëlle Gerritsen, fractievoorzitter.