Tussenrapportage Functionaris gegevensbescherming

7 Tussenrapportage Functionaris gegevensbescherming

Inleiding
In deze paragraaf worden de bijzonderheden gerapporteerd vanuit het toezicht dat uitgevoerd wordt op de Algemene Verordening Gegevensbescherming en de Wet politiegegevens. Zowel het college als de gemeenteraad zijn verantwoordelijk voor verwerkingen van persoonsgegevens van inwoners en andere belanghebbenden. Het doel van deze rapportage is informeren.  

Ontwikkelingen
De achterstand in uitvoering van risicoanalyses bij gegevensverwerkingen (DPIA’s), is met succes aangepakt. De organisatie heeft daardoor goed in beeld welke maatregelen getroffen moeten worden om de privacy risico’s zo klein mogelijk te houden. De geplande activiteiten uit de risicoanalyses worden gemonitord.
De verplichte beschrijving van gegevensverwerkingen, het Verwerkingenregister, is getoetst aan de wettelijke voorschriften en er is een start gemaakt met het updaten van alle geregistreerde verwerkingen.
Conform planning is het VNG normenkader voor de AVG, het Borgingsproduct 3.0, in gebruik genomen en dit wordt in de loop van 2025 verder uitgerold in de organisatie.
Er is organisatiebreed een awareness programma ingevoerd voor informatieveilig werken en privacybewustzijn.

Bevindingen uit toezicht en audits

  • Het blijkt dat medewerkers van de gemeente soms meer informatie kunnen inzien dan strikt noodzakelijk is voor de uitoefening van hun functie. Hierop wordt actie ondernomen.
  • Er is 3 keer een poststuk verkeerd geadresseerd en er zijn per abuis een aantal bouwvergunningen gepubliceerd. Deze voorvallen zijn direct na het ontdekken opgelost.
  • Persoonsgegevens worden vaak te lang bewaard. De organisatie werkt aan een bewaarbeleid en een beleid voor het vernietigen van persoonsgegevens waarvan de wettelijke bewaartermijn is verstreken.
  • Dataminimalisatie wordt steeds beter toegepast: er worden minder gegevens verwerkt waarvoor geen noodzaak bestaat en het bewustzijn over dataminimalisatie is toegenomen.

Risico’s

  • Niet alle werkprocessen waarbij persoonsgegevens zijn betrokken, zijn duidelijk beschreven voor de medewerkers. Dat is foutgevoelig.
  • Contracten en Verwerkersovereenkomsten worden niet structureel periodiek geëvalueerd.
  • Het is niet altijd duidelijk wie eigenaar is van een proces of actie.

Conclusie
Ten aanzien van de privacywetgeving is het compliance niveau aantoonbaar toegenomen ten opzichte van de situatie in 2024. Verbeterpunten zijn inzichtelijk. Er hebben zich geen grote datalekken voorgedaan.

Deze pagina is gebouwd op 09/29/2025 08:26:34 met de export van 09/29/2025 08:24:16