De gemeente beschikt over grote hoeveelheden persoonsgegevens. Die zijn noodzakelijk voor de uitvoering van wetten en voor een goede dienstverlening aan de bewoners. De gemeente gaat zo veilig mogelijk met deze gegevens om. Om de risico’s voor de privacy van bewoners en medewerkers zo klein mogelijk te houden, is het van belang om de bepalingen van de Algemene Verordening Gegevensbescherming (AVG) te verankeren in het gemeentelijke privacybeleid. Hierin zijn stappen gezet. Betere sturing en meer samenwerking tussen beleidsterreinen zijn tekenen van een groeiend bewustzijn binnen de organisatie.

Datatechnologie

Technologische ontwikkelingen gaan snel. De gemeente kan daardoor steeds meer doen met datatechnologie. Daaronder valt het gebruik van algoritmes. Dit gebruik roept vragen op over de risico’s, en die vraag maakt een strategische visie noodzakelijk. Deze visie moet gaan over het vinden van een goede balans tussen privacywetgeving en de risico’s voor burgers enerzijds, en het benutten van datatechnologie anderzijds. Nieuwe wetgeving, zoals de AI-wet (artificial intelligence, ofwel kunstmatige intelligentie), bevatten bepalingen voor het gebruik van datatechnologie, waaronder algoritmes. De gemeente sluit ook aan bij richtlijnen van het Rijk en bij bredere initiatieven, zoals projectgroepen van de VNG.
De gemeentelijke organisatie legt sinds dit jaar alle uitdagingen vast in jaarplannen. Deze komen samen in het organisatiebrede jaarplan 2024 voor privacy. Het maken van jaarplannen maakt het mogelijk beter te sturen op activiteiten voor privacybescherming.

DPIA’s

De Data Protection Impact Assessments (DPIA) brengen de privacyrisico’s van een proces in kaart, én de maatregelen om deze risico’s te verminderen. Alle DPIA’s krijgen na drie jaar een herziening. Dat is een doorlopend proces. Tijdige uitvoering blijft de aandacht vragen. Steeds meer samenvattingen van DPIA’s publiceert de gemeente op haar website.

Datalekken

Bij een datalek krijgt iemand toegang tot persoonsgegevens zonder dat dit mag of dat het de bedoeling is. De oorzaak is altijd een inbreuk op de beveiliging van deze gegevens. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek. Een datalek kan bijvoorbeeld ontstaan door een verkeerd geadresseerde brief of e-mail.
In 2023 waren er 245 meldingen van datalekken. Daarvan zijn er 48 gemeld bij de Autoriteit Persoonsgegevens (AP). In het eerste kwartaal van 2024 waren er 73 meldingen, waarvan er 11 bij de Autoriteit Persoonsgegevens zijn gemeld. Het aantal datalekken blijft stabiel. Bij vijf datalekken in het eerste kwartaal van 2024 zijn bijzondere gegevens gelekt, zoals medische informatie, ras of biometrie. In acht gevallen betrof het gevoelige gegevens, zoals het BSN of financiële informatie.