Schriftelijke vragen Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming is in mei 2018 in werking getreden. Inmiddels zijn we drie jaar verder en blijken veel overheidsinstanties nog steeds niet helemaal AVG-veilig te werken. Zo bleek recentelijk het systeem van de GGD een lek te bevatten waardoor kwaadwillenden eenvoudig (zeer gevoelige) persoonsgegevens van burgers konden inzien en gemakkelijk konden exporteren.
Ook de Belastingdienst bleek onlangs nog niet te kunnen voldoen aan de eisen van de AVG. In een debat in de Tweede Kamer bleek bijvoorbeeld dat de gegevens van Nederlanders tot 2024 niet in alle gevallen op de juiste manier zullen worden verwerkt.
Omdat wij bezorgd zijn dat er ook bij MijnGemeenteDichtbij sprake kan zijn van een niet veilige opslag en verwerking van gevoelige persoonsgegevens hebben wij als CDA Boxtel de volgende vragen gesteld aan het college:
1. Welk systeem/systemen gebruikt MijnGemeenteDichtbij voor de verwerking van persoonsgegevens?
2. Worden persoonsgegevens in de systemen van MGD behandeld volgens het principe ‘privacy by default’ waaruit in samenhang met art. 5 van de AVG volgt dat er met een systeem van autorisaties dient te worden gewerkt?
3. Zijn er bij u tot op heden signalen binnengekomen dat de verwerking van gegevens niet binnen de AVG gebeurt?
Wij hebben als CDA signalen ontvangen dat de opslag en verwerking van deze gegevens ook bij MijnGemeenteDichtbij niet AVG-veilig zou gebeuren. Hierdoor zouden inwoners die bezwaren indienen bij onze gemeente mogelijk gevaar kunnen lopen.
4. Kloppen deze signalen en zijn deze bij u bekend?
5. Bestaat er een autorisatie voor het bekijken van de persoonsgegevens binnen MijnGemeenteDichtbij? Op welke manier worden gegevens uitgewisseld binnen verschillende medewerkers van onze organisatie?
6. Welke medewerkers binnen onze gemeente hebben toegang tot de persoonsgegevens in het zaaksysteem? Klopt het dat alle MGD medewerkers toegang hebben tot de persoonsgegevens binnen het zaaksysteem? Zo ja, bent u ervan bewust dat dit een overtreding is van de AVG?
7. Welke persoonsgegevens worden opgeslagen binnen het zaaksysteem? Zijn alle gegevens die worden opgeslagen noodzakelijk voor de dienstvoering van onze gemeente?
8. Kunt u een onderbouwing geven voor de verwerking van persoonsgegevens in het zaaksysteem van MGD waarbij u ingaat op de noodzaak van de verwerking van persoonsgegevens zoals bedoeld in art. 4 van de AVG?
Binnen het systeem van de GGD inzake de coronatests was er ook de mogelijkheid persoonsgegevens gemakkelijk te kopiëren middels een exportfunctie in het systeem.
9. Is het binnen het zaaksysteem van MGD mogelijk om persoonsgegevens eenvoudig te exporteren naar een excelbestand?
Daarnaast ontvingen wij berichten dat mailwisseling tussen burgers en de gemeente inzichtelijk zou zijn voor álle medewerkers binnen de gemeentelijke organisatie.
10. Klopt het dat mailuitwisseling tussen onze burgers en de gemeente in te zien is voor iedere medewerker binnen MijnGemeenteDichtbij? Bent u ervan op de hoogte dat medewerkers die niet belast zijn met de taak van het ontvangen van e-mail, deze e-mails niet mogen inzien?
Naast de schade die kan ontstaan door diefstal van persoonsgegevens, bestaat ook het risico dat MijnGemeenteDichtbij op de vingers kan worden getikt door overheidsinstanties zoals de Autoriteit Persoonsgegevens of Logius.
11. Bent u ervan op de hoogte dat overheidsinstantie Logius bij niet veilige verwerking van persoonsgegevens het DigiD systeem voor Gemeente Boxtel “op zwart” kan zetten waardoor inwoners geen gebruik meer kunnen maken van DigiD voor de dienstverlening?
12. Bent u op de hoogte dat een overtreding van de AVG kan leiden tot een boete vanuit de Autoriteit Persoonsgegevens?