Capaciteitsgebrek hindert gegevensverwerking Eindhoven

Eindhoven moet de boel een beetje aanscherpen als het aankomt op de veilige verwerking van persoonsgegevens. Datalekken worden te laat gemeld en de verplichte zelfbeoordelingen duren te lang, schrijft functionaris gegevensbescherming Marielle van den Bos in haar jaarrapportage. Met name capaciteit blijkt lastig.

Grote opgave

Voor alle risicovolle gegevensverwerkingen moet de gemeente een zelfbeoordeling uitvoeren. Zo’n toetsing heet een Data Protection Impact Assessment oftewel DPIA. Van de 119 DPIA’s die Eindhoven had moeten doen, waren er begin 2021 35 afgerond – 29 procent van wat vereist was. 50 trajecten liepen nog en 34 trajecten moesten nog worden gestart. ‘Hier ligt dus (nog) een grote opgave', schrijft Van den Bos, 'want het opstellen van een DPIA vraagt een flinke inzet vanuit meerdere disciplines.’

Meldingen te laat

Er waren voor zover de gemeente weet 189 datalekken in 2020 bij Eindhoven. Bij ernstige datalekken heeft de gemeente de plicht deze te melden bij de Autoriteit Persoonsgegevens en dat is met 17 lekken gebeurd. Maar de melding moet, om de schade beperkt te houden, binnen 72 uur worden gedaan. Bij vijf meldingen gebeurde dat niet op tijd. ‘Dit betekent dat bijna 30% te laat wordt gemeld bij de Autoriteit Persoonsgegevens.’

Niet legitiem

De redenen die werden gegeven voor de te late meldingen waren dat men niet wist dat het om een datalek ging, dat er geen tijd of capaciteit voor was en ‘onbekendheid met de melding’. Volgens de functionaris gegevensbescherming zijn dit geen legitieme redenen. 'Dit aantal te late meldingen is daarom een punt van zorg.’

Onvoldoende capaciteit

‘De uitvoeringspraktijk laat zien dat er de afgelopen jaren flink is aangepakt, maar ook dat er nog veel onderhanden werk is’, concludeert Van den Bos. Het vraagt goede planning en voldoende capaciteit. Dat laatste, wat relevant is als het gaat om DPIA’s en datalekken, ‘blijkt in de praktijk lastig’.