A2014 nieuws

Zorgen om bescherming persoonsgegevens gemeente Amersfoort

standaard1
Rekenkameronderzoek Bescherming Persoonsgegevens: redelijk positief
Op 25 mei 2021 heeft de Rekenkamer een onderzoek aan de gemeenteraad aangeboden over ‘Bescherming persoonsgegevens’. Dat rapport is op 29 juni 2021 besproken in een Ronde. Uit dat onderzoek blijkt dat het privacybeleid in hoofdlijnen voldoet aan de AVG en dat hier in de praktijk naar wordt gehandeld.
 
 
Jaarverslag Functionaris Gegevensbescherming 2019-2020: kritisch en veel niet op orde
 
Sinds maart 2018 heeft de gemeente Amersfoort een eigen Functionaris Gegevensbescherming (FG) in dienst. In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Jaarlijks maakt de FG een jaarverslag: zie het document ‘Jaarverslag Functionaris Gegevensbescherming 2019-2020’. De FG heeft een volstrekt onafhankelijke en autonome positie in het gemeentelijk apparaat. De rol, positie en taken van de FG zijn in de basis wettelijk vastgelegd in de AVG. De FG werkt voor het college van B&W en voor de gemeenteraad. Dit roept de vraag op hoe het college en de gemeenteraad zich verhouden tot autonome en onafhankelijke functionarissen binnen de ambtelijke organisatie en in dit geval ook tot elkaar!
 
In het kritische jaarverslag 2019-2020 van de FG is te vinden hoe de gemeente omgaat met de informatieplicht naar cliënten en op welke wijze er in Amersfoort wordt samengewerkt met andere organisaties bij de uitwisseling van gegevens van cliënten. Uit het jaarverslag van de FG ontstaat een geheel ander beeld over het privacybeleid van de gemeente Amersfoort dan over dezelfde onderwerpen uit het Rekenkameronderzoek: de gemeente Amersfoort heeft drie jaar na de invoering van de AVG nog heel veel niet op orde op het gebied van gegevensbescherming.
 
Opvallend daarbij is dat het gemeentelijk uitgangspunt dat iedere afdeling verantwoordelijk is voor de eigen processen ( en dus ook de verwerking en bescherming van van persoonsgegevens) als een flinke belemmering wordt ervaren door de FG. Daarnaast is de fractie van Amersfoort2014 verbijsterd over de wijze waarop de gemeente Amersfoort omgaat met de zgn. ‘Data Protection Impact Assessments’ (DPIA’s).Voor alle gemeentelijke activiteiten die te maken hebben met gegevensverwerking en gegevensbescherming die een hoog risico in zich hebben, is de gemeente sinds 2018 wettelijk verplicht een DPIA uit te voeren. De FG MOET daar VOORAF eerst een advies over geven. De betreffende actie mag dan ook niet eerder plaatsvinden dan na de uitvoering en vaststelling van de DPIA. In Amersfoort is 50% van alle uitgevoerde DPIA’s tussen 2018 niet volgens de wettelijke regels uitgevoerd en vastgesteld! Dat betekent dat er zo’n 20 gemeentelijke verwerkingen (=activiteiten) inzake bescherming persoonsgegevens ( zoals het plaatsen van camera’s of het te snel vernietigen van dossiers) zijn uitgevoerd die hoogstwaarschijnlijk onwettig zijn. De fractie van Amersfoort2014 vindt dat drie jaar na de invoering van de AVG niet acceptabel!
 

Het college wordt verzocht de volgende vragen schriftelijk te beantwoorden:

Vraag 1
In de beantwoording van het college van de feitelijke vragen van Amersfoort2014 bij de Jaarstukken 2020 staat op blz. 61:
De DPIA’s uit 2017-2019 die wel zijn uitgevoerd en nog niet zijn vastgesteld, worden ook nog afgerond en allemaal volgens onze gebruikelijke werkwijze ter advisering voorgelegd worden aan de FG’.
  1. Hoe kunnen er reeds 20 DPIA’s zijn uitgevoerd, terwijl er niet voldaan is aan de wettelijke verplichting dat een DPIA in alle gevallen eerst ter advisering moet worden voorgelegd aan de FG, vervolgens moet worden vastgesteld in de organisatie en dan pas ingevoerd mag worden in de gemeentelijke organisatie?
  2. In bovengenoemd citaat staat ‘ volgens onze gebruikelijke werkwijze’. Beseft het college dat deze gebruikelijke werkwijze onjuist is en niet volgens de regels die gelden voor de FG?
  3. Zo nee; waarom niet? Zo ja, wat is de mening van het college over deze handelwijze?
  4. Waarom is 50% van de DPIA’s wel uitgevoerd, maar nog niet vastgesteld?
  5. Op welke wijze en binnen welke termijn gaat het college ervoor zorgen dat vanaf heden alle DPIA’s wel tijdig en volgens de voorschriften worden afgehandeld (dus met FG-advisering en vaststelling vooraf). Graag concrete maatregelen vermelden.
  6. Hoeveel DPIA’s zijn er in de periode 2017-2020 wel uitgevoerd, niet aangemeld ter advisering bij de FG en niet vastgesteld in de organisatie en toch in werking getreden?
  7. Graag ontvangt de fractie van Amersfoort2014 een lijst van wel en nog niet vastgestelde, maar wel uitgevoerde DPIA’s uit de periode 2017-2020 met vermelding van de verantwoordelijk wethouder en of deze verwerking inmiddels wel of niet is ingevoerd in de gemeentelijke organisatie. Is het college hiertoe bereid?
  8. Zo niet, waarom niet? Graag onderbouwd aangeven waarom vraag 1e in strijd zou zijn met het algemeen belang van de gemeente Amersfoort.
 
Vraag 2
In het jaarverslag 2019-2020 van de FG (blz. 2) staat:’ DPIA’s zijn belangrijke gegevensbeschermingstoetsen die volgens de AVG uitgevoerd moeten worden bij hoog risico verwerkingen
  1. Onderschrijft het college deze passage uit het jaarverslag?
  2. Zo ja, op welke wijze gaat het college dan uitvoering geven aan de door de FG gevraagde hoge prioriteit in 2021 (blz. 2 jaarverslag FG)?
  3. Volgens de wethouder (Ronde 29 juni 2021) zijn alle aanbevelingen uit het jaarverslag (blz. 20 t/m 23) van de FG overgenomen door het college en direct verwerkt in het uitvoeringsplan 2021. Is het college bereid om het betreffende collegebesluit en het uitvoeringsplan voor de gemeenteraad bij te voegen bij de antwoorden?
  4. Zo nee, waarom niet?
 
Vraag 3
Citaat uit jaarverslag FG (blz. 4): ‘Bij een té hoog restrisico is de gemeentelijke organisatie verplicht de Autoriteit Persoonsgegevens (AP) te consulteren voordat de verwerking mag starten
  1. Hoe vaak is de AP geconsulteerd in de periode 2017 tot heden?
  2. Graag een overzicht van consultaties en de betreffende onderwerpen vanaf 2018
 
Vraag 4
Privacy by design (PbD): Dit betekent dat bij het ontwerpen of een aanbesteding van een proces of systeem gegevensbescherming vanaf het begin al is meegenomen. Volgens de AVG moet de gemeente Amersfoort sinds 2018 voldoen aan de beginselen van PbD.
  1. Voldoet de gemeente Amersfoort sinds 2018 aan dit beginsel?
  2. Graag aangeven hoe vaak en bij welke aanbestedingen en processen dit beginsel is toegepast in de periode 2018-2020?
  3. Waarom, hoe vaak en bij welke aanbestedingen en processen is het beginsel in deze periode niet toegepast door de gemeente Amersfoort?
  4. Wat is daar de oorzaak van en welke portefeuillehouder is hiervoor verantwoordelijk?
  5. Op welke wijze en binnen welke termijn gaat de gemeente Amersfoort wel voldoen aan dit beginsel?
 
Vraag 5
De bewaartermijnen van persoonsgegevens: Op blz. 9 van het jaarverslag van de FG staat vermeld: ‘In de praktijk zijn de bewaartermijnen nog niet volledig doorgevoerd. Het risico is dat de bewaartermijnen niet worden nageleefd’.
  1. Is het college zich bewust van dit risico?
  2. Zo ja, op welke wijze gaat het college om met cliënten die vragen of klachten hebben over de bewaartermijn van hun persoonlijke gegevens (met deze constatering van de FG als gegeven) ?
  3. Wanneer zullen alle bewaartermijnen volledig doorgevoerd zijn in Amersfoort?
 
Vraag 6
Uit het jaarverslag van de FG blz. 12: ‘ Ook is binnen de organisatie nog niet altijd geheel duidelijk wat de precieze rol is van de FG, wat diens taken zijn en wanneer om advies gevraagd dient te worden’.
  1. Hoe is het mogelijk dat na drie jaar de onafhankelijke positie en rol van de FG nog niet duidelijk is binnen de gemeentelijke organisatie? Wat is daarvan de oorzaak?
  2. Wie is hiervoor verantwoordelijk?
 
Vraag 7
Omdat de FG een volstrekt onafhankelijke positie heeft binnen de gemeentelijke organisatie moet het mogelijk zijn dat raadsleden zich rechtstreeks (schriftelijk en/of mondeling) kunnen wenden tot de FG, zeker omdat collegeleden betrokken zijn bij en verantwoordelijk zijn voor de juiste wijze waarop er met persoonsgegevens wordt omgegaan. Is het college het eens met deze opvatting van Amersfoort2014?
  1. Zo nee, waarom niet?
  2. Hoe verhoudt het college en de afzonderlijke collegeleden zich juridisch en informeel tot de FG? Zijn daar afspraken over gemaakt?
  3. Op welke wijze en door wie wordt de FG aangestuurd en beoordeeld?
 
Vraag 8
Blz. 12 jaarverslag FG:’ De gemeente dient de persoon van wie de gemeente persoonsgegevens verwerkt, zowel actief als passief ie informeren over de verwerkingen die zij doet’.
  1. Het college stelde onlangs in de beantwoording van schriftelijke vragen (2020-052) over de opheffing van het Gemeentelijk Interventieteam in 2018 dat de cliënten destijds niet geïnformeerd behoefden te worden: ‘door de manier waarop trajecten zijn vervolgd was er geen noodzaak cliënten te informeren’. Juist bij het GIT werden volop persoonsgegevens van cliënten uitgewisseld met samenwerkingspartners. Hoe is de passage op blz. 12 van het jaarverslag van de FG te rijmen met uitspraken van het college dat cliënten van het GIT niet geïnformeerd werden bij de opheffing van het GIT?
  2. Is de FG betrokken geweest bij de beantwoording van de schriftelijke vragen 2020-052?
  3. Waarom wel of niet?
 
Vraag 9
Citaat uit het verslag van de FG blz. 13: ‘ Het is nog niet voldoende inzichtelijk op welke wijze betrokkenen (= cliënten) actief geïnformeerd worden’.
  1. Onderschrijft het college deze conclusie van de FG?
  2. Op welke wijze gaat het college per direct uitvoering geven aan het ACTIEF informeren van betrokken zoals de AVG voorschrijft?
  3. Hoe is de verplichting om betrokkenen ACTIEF te informeren te rijmen met de verklaring die het college heeft gegeven over het niet informeren van cliënten over de opheffing van het GIT in 2018 (zie ook de toelichting bij vraag 8a)
 
Vraag 10
Citaat uit het Rekenkameronderzoek ‘Bescherming Persoonsgegevens’ blz. 16: ‘De medewerkers bewaken actief dat deze (ketenpartners) zich conformeren aan de regels/procedures van de gemeente (Amersfoort)'.
Citaat uit het jaarverslag 2019-2020 van de FG blz. 15: ‘Momenteel is niet inzichtelijk met welke partijen de gemeente allemaal samenwerkt en of de juiste afspraken over gegevensbescherming zijn gemaakt’.
Deze twee citaten uit twee rapporten die in dezelfde periode opgesteld zijn, zijn volgens ons in tegenspraak.
  1. Is het college het eens met deze constatering van de fractie van Amersfoort2014?
  2. Zo niet, graag toelichten
  3. Zo ja, hoe is dit te verklaren?
  4. Welk citaat komt overeen met de werkelijke situatie?
  5. Wat gaat het college doen om dit probleem wel inzichtelijk te krijgen?
 
Vraag 11
Citaat uit het Rekenkameronderzoek ‘Bescherming Persoonsgegevens’ blz. 14-15: ‘Medewerkers van de gemeente zijn bekend met (privacy-) beleid en leven dit na
Citaat uit het jaarverslag 2019-2020 van de FG blz. 13: ‘Er is weinig zicht op afhandeling van persoonsgegevens doordat afdelingen binnen de gemeente zelfstandig werken’.
Deze twee citaten uit twee rapporten die in dezelfde periode opgesteld zijn, zijn volgens ons in tegenspraak.
  1. Is het college het eens met deze constatering van de fractie van Amersfoort2014?
  2. Zo niet, graag toelichten
  3. Zo ja, hoe is dit te verklaren?
  4. Welk citaat komt overeen met de werkelijke situatie?
  5. Wat gaat het college doen om dit probleem aan te pakken?

 

 
Ben Stoelinga
schrvragen
motie
verkiezingsprgr
departij
A2014 Logo 6393x1200
mail.pngfacebook.pnginstagramyoutube.pngtwitter.png
mail.pngfacebook.pnginstagramyoutube.pngtwitter.png