3.5.7 Privacy
Algemeen beeld
In 2024 is hard gewerkt aan het verstevigen van de basis voor bescherming van persoonsgegevens en politiegegevens. De achterstand op het gebied van risicoanalyses (DPIA’s) is met 30% verminderd en er is meer bewustzijn gecreëerd. De informatievoorziening aan inwoners over het privacybeleid is verbeterd. Team privacy wordt veelvuldig door de organisatie om advies gevraagd. Het algemene beeld op basis van het Functionaris Gegevensbescherming toezicht is dat de compliance ten aanzien van zowel AVG als Wet politiegegevens (Wpg) nog niet volledig op het gewenste niveau is. Dat blijkt onder meer uit een uitgevoerd AVG-Wpg assessment en de Wpg audit. Tegelijkertijd is waargenomen dat er zichtbaar stappen zijn gezet, dankzij de betrokkenheid en inzet van directie, management en uitvoering.
Beleid
De beleidsdocumenten voor uitvoering van de AVG zijn op orde en er is een periodieke controleflow ingericht. Voor een aantal informatiebeveiligingsonderwerpen is het beleid nog niet op orde. Hiervoor is een plan van aanpak gemaakt. Voor nieuwe wetgeving die van invloed is op privacyvraagstukken, zoals de NIS2 en de AI Wet, zijn voorbereidingen tot beleidsvorming in gang gezet. Daarbij hebben de CISO en FG een adviserende rol.
Processen
Uit het toezicht blijkt dat de kwaliteitscyclus nog niet volledig is ingericht voor het Verwerkingenregister en de risicoanalyses (DPIA’s). Ook de periodieke controle op verwerkersovereenkomsten, onderdeel van het contract- en leveranciersmanagement, is nog niet geïmplementeerd. Het proces voor afhandeling van AVG en Wpg verzoeken van inwoners is in 2024 verbeterd en er is 39 keer een AVG-verzoek gedaan. Veelal ging het om een inzageverzoek in een dossier, meestal betrof dit het Sociaal Domein.
Voorvallen waarbij de privacy geraakt kan zijn
In 2024 zijn er 47 meldingen gedaan van beveiligingsincidenten waar persoonsgegevens bij betrokken waren. In 38 gevallen waren gegevens terecht gekomen bij de verkeerde medewerker van de gemeente Almelo. Omdat alle medewerkers een geheimhoudingsplicht hebben, hebben deze voorvallen geen hoog privacyrisico, al moet dit soort fouten wel voorkomen worden. In vijf gevallen was de oorzaak van een beveiligingsincident buiten de organisatie van de gemeente Almelo gelegen. Er is in 2024 zeven keer een melding bij de Autoriteit Persoonsgegevens gedaan in verband met een datalek, meestal veroorzaakt door verkeerde adressering van een brief of e-mail.
Overig toezicht
De resultaten van de audit op de Wet politiegegevens laat zien dat er een op tal van punten verbetering gerealiseerd is ten opzichte van 2023. Voor resterende verbeterpunten is een plan van aanpak gemaakt.
Er is in 2024 een start gemaakt met het in kaart brengen van regionale samenwerkingsverbanden waarbij persoonsgegevens worden verwerkt. Daarbij is geconstateerd dat een aantal convenanten met samenwerkingspartijen moet worden herbeoordeeld.
Een belangrijk uitgangspunt voor informatiebeveiliging en privacy is dataminimalisatie. Dat houdt in dat de gemeente alleen informatie vastlegt, gebruikt of doorgeeft, als dat noodzakelijk is voor de taken die de gemeente uitvoert. Hiervoor is in diverse projecten in 2024 de nodige aandacht geweest en het blijft ook voor 2025 een speerpunt.