Als CDA vinden wij goede bescherming van privacy van het grootste belang! Nu blijkt dat de bescherming in 2021 niet op orde was. Wij hebben hier vragen over gesteld! ⤵️
Geacht college,
Als CDA maken we ons zorgen om de privacy van onze inwoners. Wij vinden de bescherming van
gevoelige gegevens van al onze inwoners tegen kwaadwillende mensen van het grootste belang.
Uit navraag valt op dat een aantal belangrijke elementen op het gebied van privacy en IT-systemen
van de gemeente niet voldoet of slechts gedeeltelijk voldoet. De rechten van onze inwoners, en met
name de privacy van onze inwoners vinden wij als CDA belangrijk. Om een voorbeeld uit het
jaarverslag over 2021 van de Functionaris voor de Gegevensbescherming concreet te benoemen,
merken we op dat onze gemeente 35 beveiligingsmaatregelen heeft, waarvan ‘maar’ 18 in control zijn,
8 maatregelen zijn onvoldoende en 9 zijn gedeeltelijk onder controle. Als CDA hebben we bij de
Functionaris voor de Gegevensbescherming concreet gevraagd wat er bij de gemeente niet op orde
is, maar krijgen vanwege de gevoeligheid van deze informatie geen inhoudelijk antwoord.
Aangezien wij als CDA fractie van mening zijn dat we zorgvuldig met gegevens van onze inwoners
dienen om te gaan en wij vinden dat IT-systemen dermate beveiligd moeten zijn, stellen wij dit issue
aan de orde. Daar komt bij dat er bij verschillende gemeenten steeds meer geluiden de kop op steken
met betrekking tot discriminatie vanwege voorspellende algoritmen en data- en risicoclassificatie en
onduidelijkheid over het gebruik van de data van inwoners. Eveneens wordt er bij sommige
overheidsorganisaties nog steeds gebruik gemaakt van Russische en/of Chinese software en
verschillende typen relatief makkelijk te hacken servers, waardoor alle data inzichtelijk wordt voor
mogelijk kwaadwillende mensen.
In het jaarverslag van de Functionaris voor de Gegevensbescherming zien we dat wij als gemeente
nog behoorlijk wat stappen dienen te maken om de veiligheid van de gegevens van onze inwoners te
kunnen waarborgen, daarom stellen wij u op grond van artikel 42 van de Organisatieverordening van
de gemeenteraad de volgende vragen:
• Bent u het met de fractie van het CDA eens dat de privacy van onze inwoners belangrijk is en
wij als gemeente zorgvuldig met privacygegevens dienen om te gaan?
• Na bestudering van het FG maakt u zich als college zorgen dat de beveiliging in veel gevallen
ten opzichte van het totaal niet op orde is?
• Kunt u aangeven aan welke beveiligingsmaatregelen niet wordt voldaan en welke mitigerende
maatregelen om de risico’s te beperken u hiervoor heeft getroffen?
• Bent u het met ons eens dat het volledig onder controle hebben van alle
beveiligingsmaatregelen te allen tijde van de hoogste prioriteit is?
• Kunt u aangeven of onze gemeente onlangs door een cyberaanval is getroffen of dat er een
poging hiertoe is ondernomen?
• Indien er gebruik wordt gemaakt van Russische en/of Chinese software, kunt u dan
aangeven waarvoor die worden gebruikt en welke maatregelen u heeft getroffen om de
risico’s die kleven aan dit soort software te mitigeren?
• Bent u het met ons eens dat wij als gemeente dergelijke software niet moeten gebruiken, en
bent u dan bereid om deze op korte termijn te vervangen?
• Kunt u uiteenzetten welke typen servers en dataopslag wordt gebruikt in het kader van de
gemeente als verwerkingsverantwoordelijke (kader AVG)
1 en wat de locatie daarvan is (dit
geldt bijvoorbeeld ook voor eventuele SaaS2 uitvoerders)?
• Kunt u aangeven of en zo ja welke gegevens er via encryptie versleuteld worden opgeslagen?
• Bent u het met ons eens dat een openbaar te raadplegen algoritmeregister van belang is om
onze inwoners inzage te geven in de manier van werken met algoritmen in combinatie met
hun data?
• Kunt u aangeven of en zo ja, welke datasets u gebruikt voor (voorspellende) algoritmen
binnen het sociaal domein?
• Kunt u aangeven of wij, in alle gevallen waarin dit wordt vereist, met alle (sub)verwerkers3 een
up-to-date getekende verwerkersovereenkomst4 hebben om de veiligheid van de gegevens
van onze inwoners te garanderen?
• Bent u het met ons eens dat gegevensbeschermingseffectbeoordelingen5
te allen tijde op de
in de wet gestelde termijn dienen te worden uitgevoerd in het belang van onze inwoners?
• Kunt u aangeven of alle vereiste gegevensbeschermingseffectbeoordelingen de afgelopen
drie jaar binnen de wettelijke termijn zijn uitgevoerd?
• Kunt u aangeven voor welke onderdelen uit het jaarverslag van de Functionaris voor de
Gegevensbescherming over 2020 en 2021 de raad wettelijk gezien verantwoordelijk is?
• Wij kunnen ons voorstellen dat de antwoorden op bovenstaande vragen gevoelige informatie
bevatten (o.a. gegevensbeschermingseffectbeoordelingen, algoritmen, typen datasets,
dataclassificatie, beveiligingsincidenten), welke u niet in de openbaarheid kunt delen, bent u
dan bereid om deze informatie in een (eventueel besloten) commissievergadering verder te
behandelen?