Utrechtse Heuvelrug heeft te weinig aan privacy en gegevensbescherming gewerkt en eerdere aanbevelingen zijn onvoldoende opgevolgd. De gemeente loopt hierdoor een groter risico op het niet naleven van de bescherming van privacy, valt te lezen in een kritisch jaarverslag over 2020. De begroting en risico inschatting schieten tekort, er is onvoldoende sturing vanuit de tweede lijn en de gemeente voldoet niet aan de AVG verantwoordingsverplichtingen.

Meer druk

De komende jaren zullen de audits voor informatiebeveiliging en gegevensbescherming zwaarder worden, waarschuwen de regionale Functionarissen Gegevensbescherming, en de druk vanuit de Autoriteit Persoonsgegevens zal worden opgevoerd. Er is echter nog geen sprake van een adequate auditsystematiek voor informatiebeveiliging en gegevensbescherming en het ontbreekt de gemeente aan kennis. Interne audit en coordinatie wordt veelal uitbesteed, waardoor er een leerachterstand ontstaat en er weinig zicht is op de mate van compliance.

Niet conform AVG

De gemeente heeft stappen gezet, maar de doelstellingen zijn daarmee echter nog niet verwezenlijkt. De verplichte risicoanalyses middels DPIA s en het toepassen van privacy-by-design zijn bijvoorbeeld nog onvoldoende geimplementeerd in de bedrijfsvoering. Er is een verwerkingsregister met informatie over de verwerkte persoonsgegevens, maar het is onvolledig, niet actueel en niet conform de AVG. De voorgenomen actie uit het plan van aanpak 2021 om het register in beheer te nemen, heeft nog niet geleid tot een actualisatie.

Deze versturen we 3-4x per jaar.