Van beleid naar borging: een onderzoek naar het privacybeleid van de gemeente Doetinchem

Het belang van een adequaat privacybeleid door gemeenten is toegenomen. In dit licht heeft de rekenkamercommissie van de gemeente Doetinchem PBLQ gevraagd voor de ondersteuning bij een onderzoek naar het privacybeleid van deze gemeente.

Het onderzoek richt zich op de vraag of de gemeente de relevante wet- en regelgeving juist uitvoert. Het privacybeleid kent verschillende risico’s. Indien de gemeente in gebreke blijft bij het beschermen
van de privacy van de inwoners, kan de gemeente geconfronteerd worden met forse boetes, op te
leggen door de Autoriteit Persoonsgegevens. Ook dit risico maakt het onderzoek, mede vanuit het
perspectief van de raad, van belang.

Duidelijk moet zijn dat de gemeente in het beleid de nodige
waarborgen heeft opgenomen om de privacy van de inwoners adequaat te beschermen.

In hoeverre is het privacybeleid bij de gemeente rechtmatig en doelmatig en in hoeverre is de privacy
van inwoners geborgd?
Deze hoofdvraag is opgesplitst in deelvragen over het beleid, de uitvoeringspraktijk, betrokkenen en
de raad:
Beleid
1) Welk beleid is er geformuleerd rond de privacy van gegevens van de inwoners?
2) Wat zijn de doelen van dit beleid?
3) Voldoet dit beleid aan de wet- en regelgeving?
4) Welke maatregelen neemt de gemeente om (tijdig) voorbereid te zijn op de komst van de nieuwe,
scherpere privacyregelgeving (AVG)?
Uitvoering
5) Hoe is de bescherming van persoonsgegevens vormgegeven?
6) Op welke wijze wordt de regelgeving rondom bescherming persoonsgegevens nageleefd?
7) Heeft de gemeente een overzicht van de privacygevoelige gegevens die zij gebruikt en is
duidelijk wie toegang heeft tot deze gegevens?
8) Heeft de gemeente een overzicht van de persoonsgegevens die worden gebruikt door buiten de
gemeente geplaatste instellingen en organisaties? Is duidelijk wie toegang heeft tot deze
gegevens en waar deze gegevens voor worden gebruikt?
9) Stelt de gemeente eisen aan bijvoorbeeld ICT-systemen en beveiligingsmaatregelen in de eigen
organisatie en bij buiten de gemeente geplaatste instellingen en organisaties?
10) Beschikt de gemeente over een functionaris gegevensbescherming zoals bedoeld in de Wet
bescherming persoonsgegevens (Wbp)? Heeft deze functionaris ook een rol bij de buiten de
gemeente geplaatste instellingen en organisaties?
11) Is er in het privacybeleid van de gemeente aandacht voor welke acties ondernomen moeten
worden in het geval zich een datalek voordoet?
Betrokkenen
12) Wordt aan inwoners toestemming gevraagd voor het uitwisselen van hun persoonsgegevens?
13) Hebben inwoners inzicht in de opslag van hun persoonsgegevens en voor welk doel deze zijn
opgeslagen?
14) Is geregeld of en hoe inwoners een klacht kunnen indienen tegen opslag van hun gegevens en/of
onjuistheden daarin?
Raad
15) Wordt er gerapporteerd aan de raad over privacy en zo ja op welke wijze?