Utrechtse Heuvelrug deed te weinig aan gegevensbescherming

De begroting en risico-inschatting schieten tekort, er is onvoldoende sturing vanuit de tweede lijn en de gemeente voldoet niet aan de AVG-verantwoordingsverplichtingen. De komende jaren zullen de audits voor informatiebeveiliging en gegevensbescherming zwaarder worden, waarschuwen de regionale Functionarissen Gegevensbescherming, en de druk vanuit de Autoriteit Persoonsgegevens zal worden opgevoerd. Er is echter ‘nog geen sprake van een adequate auditsystematiek voor informatiebeveiliging en gegevensbescherming’ en het ontbreekt de gemeente aan kennis. ‘Interne audit en coördinatie wordt veelal uitbesteed, waardoor er een leerachterstand ontstaat en er weinig zicht is op de mate van compliance.’

De gemeente heeft stappen gezet, maar de doelstellingen ‘zijn daarmee echter nog niet verwezenlijkt’. De verplichte risicoanalyses middels DPIA’s en het toepassen van privacy-by-design zijn bijvoorbeeld nog ‘onvoldoende geïmplementeerd in de bedrijfsvoering’. Er is een verwerkingsregister met informatie over de verwerkte persoonsgegevens, maar het is onvolledig, niet actueel en niet conform de AVG. ‘De voorgenomen actie uit het plan van aanpak 2021 om het register in beheer te nemen, heeft nog niet geleid tot een actualisatie.’

Verantwoordelijkheden

De afgelopen jaren bleek dat de sturing van de tweede lijn - de onafhankelijke ondersteuning zoals de CISO en de privacy officer - onduidelijk is of ontbreekt. ‘Met als gevolg dat functies in de lijnen van plek wisselen/schuiven, de gaten gaan opvullen of zich kunnen onttrekken aan verantwoordelijkheden.’

Er zijn geen concrete middelen begroot om maatregelen planmatig te implementeren die noodzakelijk zijn om te voldoen aan wettelijke eisen voor gegevensbescherming. En er wordt in de paragraaf ‘Weerstandsvermogen en risicobeheersing’ niet duidelijk of er genoeg rekening is gehouden met de risico’s als gevolg van het niet voldoen aan de AVG en ‘onbevoegde toegang tot (persoons)gegevens’. ‘Het is de vraag of er voldoende middelen zijn gereserveerd om de financiële gevolgen van optredende risico's op het gebied van gegevensbescherming op te vangen’.

Inhaalslag

Ondanks een inhaalslag is de continuïteit van gegevensbescherming ‘laag’. Op basis van de door de Vereniging van Nederlandse Gemeenten opgestelde criteria is de compliance score van Utrechtse Heuvelrug 39 procent: ‘In Utrechtse Heuvelrug worden de werkzaamheden op verwerkingsniveau informeel uitgevoerd, gegevensbescherming is binnen de organisatie situationeel ingericht en de beschikbare FTE lijkt onvoldoende te zijn om de vele werkzaamheden te kunnen uitvoeren.’