Noordwijkse Rekenkamer: bescherming persoonsgegevens schiet nog tekort

Juridisch en in de dagelijkse praktijk beschermt de gemeente Noordwijk de persoonsgegevens van haar inwoners op een aantal punten nog niet goed genoeg. Dat stelt de Rekenkamer van Noordwijk in een onderzoek naar het privacybeleid van de gemeente. De Rekenkamer presenteerde op 16 november 2021 het onderzoek ‘Bescherming persoonsgegevens in Noordwijk’ aan de raadscommissie Bestuur, Middelen en Economie.

Bevindingen

De gemeente Noordwijk voert een privacybeleid dat voldoet aan de wettelijke richtlijnen, maar het beleid is volgens de Rekenkamer marginaal. Dit zijn de bevindingen van de Rekenkamer:

Tekst illustratie 1

Privacybeleid

Er is een privacybeleid en -reglement. Het beleid volgt de gangbare richtlijnen, maar blijft marginaal. Het zou verder moeten worden uitgewerkt om betekenis te krijgen in de organisatie.

Werkprocessen

Het privacybeleid is nog weinig uitgewerkt in werkprocessen. Er zijn wel werkprocessen beschreven, maar de relatie tot het onderwerp privacy ontbreekt nog regelmatig. Er worden nauwelijks DPIA’s
uitgevoerd.

Informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid heeft een hoger volwassenheidsniveau, zowel wat betreft het beleid als de implementatie van dit beleid.

Uitvoering

Bij de uitvoering van het beleid zijn rollen en verantwoordelijkheden onduidelijk. Personen met functies die verantwoordelijk zijn, vullen deze rol vrijblijvend in. Ook is er geen onafhankelijke FG. Dit wordt wel vereist door de AVG.
 

Rekenkamer bevindingen 2

Tekst illustratie 2

Bestuurlijk

Privacy krijgt op bestuursniveau geen tot weinig aandacht.

Risico’s en ontwikkelingen

Er wordt ad hoc omgegaan met risico’s en met nieuwe ontwikkelingen. Er is echter wel een verwerkingsregister en datalekken worden gerapporteerd.

Informatie

Medewerkers worden structureel geïnformeerd over hoe zij moeten omgaan met (persoons)gegevens.

Aanbevelingen

De Rekenkamer raadt op basis van deze bevindingen uit het onderzoek aan het privacybeleid verder uit te werken en doet de volgende aanbevelingen aan het college van B&W en aan de gemeenteraad:

Aanbevelingen aan het college:

  • Wijs zo snel mogelijk een onafhankelijke Functionaris Gegevensbescherming en een privacy officer aan;
  • Geef de onafhankelijke Functionaris Gegevensbescherming opdracht om ieder jaar aan het college verslag uit te brengen over de stand van zaken in het privacybeleid;
  • Werk het beleid uit zodat er duidelijke en concrete richtlijnen komen voor alle medewerkers;
  • Geef hier vervolg aan in concrete beleidsregels en procedures;
  • Zorg dat in de uitwerking van het beleid ook aandacht komt voor de specifieke taken en verantwoordelijkheden van de voor het privacybeleid cruciale functionarissen, zoals de Functionaris Gegevensbescherming, de Chief Information Security Officer, de privacy officer en de teamcoaches;
  • Zorg dat regelmatig analyses (Data Protection Impact Assessments) worden uitgevoerd;
  • Besteed ook aandacht aan de verantwoordelijkheden met betrekking tot privacy die tot het reguliere werk behoren van elke medewerker, en geef ook aan op welke wijze directie en teamleiders de naleving daarvan bewaken;
  • Pas de organisatiecultuur zo aan dat het belang van de naleving van privacy integraal onderdeel uitmaakt van het denken en handelen van elke medewerker;
  • Bespreek de uitgangspunten van het (nieuwe) privacybeleid met de raad voordat deze worden vastgesteld.

Aan de gemeenteraad van Noordwijk beveelt de Rekenkamer aan:

  • Zet het privacybeleid zo snel mogelijk op de agenda;
  • Bespreek de uitgangspunten van het gewenste privacybeleid en stel deze vast;
  • Leg vast hoe de raad door het college van B&W geïnformeerd wordt over de stand van zaken in het privacybeleid.

Stand van zaken

Het rapport werd op 16 november aan de raadscommissie BME gepresenteerd in een beeldvormende vergadering, waarbij de raadsleden vragen aan de opstellers van het onderzoek konden stellen. In een volgende meningsvormende vergadering zal de raad politieke standpunten innemen ten aanzien van het rapport.

Rekenkamer en de raad

Het rapport ‘Bescherming persoonsgegevens in Noordwijk’ is het eerste onderzoeksrapport van de Rekenkamer van Noordwijk. De Rekenkamer werd op 29 september 2020 geïnstalleerd door de gemeenteraad van Noordwijk.

De Rekenkamer is naast de Auditcommissie een van de instrumenten waarmee de raad haar controlerende taak kan uitvoeren. De Rekenkamer is onafhankelijk en bestaat uit leden die geen band hebben met de gemeenteraad, de ambtenaren van de gemeente en het college van burgemeester en wethouders.

Download het rapport ‘Bescherming persoonsgegevens in Noordwijk’ in pdf.

Kijk terug

Bekijk de presentatie van het rapport aan de raadscommissie Bestuur, Middelen en Economie op 16 november 2021 (het rapport komt aan de orde vanaf 0.17.50 minuten tot 1.05.00 minuten).