De gemeente verwerkt vaak persoonsgegevens van Rotterdammers en andere burgers, van ondernemers en van medewerkers. Dat is nodig voor de uitvoering van allerlei wettelijke taken en bevoegdheden van de gemeente. Alle persoonsgegevens vallen onder de Algemene verordening gegevensbescherming (AVG). Deze wet bepaalt hoe bedrijven en overheden met persoonsgegevens moeten omgaan.
In 2021 is de toepassing van de AVG meer dan voorgaande jaren een vanzelfsprekend onderdeel bij de inrichting van werkprocessen. De organisatie hield steeds meer rekening met het privacy-aspect. Of het nu gaat om cameratoezicht, verlening van horecavergunningen of handhaving van de leerplichtwet: in veel gevallen gaat het om gevoelige persoonsgegevens, en moet de gemeentemaatregelen nemen om die gegevens te beschermen. Dat gebeurt door:
- Het bijhouden van het register van verwerkingen. In dit register zijn nu 522 verwerkingen vastgelegd. ‘Verwerkingen’ zijn processen of deelprocessen waarbij de gemeente persoonsgegevens van burgers en medewerkers verwerkt.
- Data Protection Impact Assessments (DPIA’s). Dit zijn analyses van processen met een hoog risico voor de privacy van degenen van wie de gemeente gegevens verwerkt. Het DPIA is een wettelijk verplichte analyse. Op basis daarvan bepaalt de gemeente welke maatregelen nodig zijn om het privacyrisico zo klein mogelijk te houden.
Het aantal DPIA’s steeg van 56 in 2020 naar 152 DPIA’s in 2021. Daarmee zijn de privacyrisico's steeds beter in beeld, zodat het mogelijk is de juiste maatregelen te nemen om de risico’s op privacyschending zo laag mogelijk te houden.
- Het afsluiten van verwerkersovereenkomsten. Telkens als de gemeente een contract afsluit met een bedrijf dat op een of andere manier persoonsgegevens van en voor de gemeente verwerkt, is het verplicht hiervoor een verwerkersovereenkomst te sluiten. Het gaat om zeer uiteenlopende bedrijven, bijvoorbeeld een evenementenbureau dat aanmeldingen voor een event verwerkt, of een softwareleverancier. In de verwerkingsovereenkomst staan afspraken over hoe de verwerker moet omgaan met de persoonsgegevens. Onze gemeente heeft 160 verwerkersovereenkomsten afgesloten. Sommige overeenkomsten gaan over verschillende processen.
- Het bijhouden van een datalekkenregister. Bij een datalek zijn persoonsgegevens mogelijk of daadwerkelijk in handen gekomen van onbevoegden. Dat kan bijvoorbeeld al door een verkeerd geadresseerde brief of e-mail.
In 2021 zijn er 253 meldingen gedaan van een datalek. Daarvan zijn er 66 gemeld bij de Autoriteit Persoonsgegevens. - Aandacht voor bewustwording (awareness). Om datalekken te voorkomen, zijn in 2021 campagnes ingezet om de bewustwording van privacyrisico’s bij medewerkers te vergroten. Ongeveer de helft van de medewerkers heeft eind 2021 de e-learning Privacy en informatiebeveiliging afgerond. Het streven is dit percentage in 2022 omhoog te brengen. Ook is er een aanbod van mini-modules en inzet van andere communicatiemiddelen.