Hij is amper vijf weken in functie, maar wethouder Harmjan Vedder heeft naar eigen zeggen al twee keer de Functionaris Gegevensbescherming in zijn kantoor gehad. Deze 'privacy-ambtenaar' is belast met het voorkomen - of oplossen - van gelekte persoonsgegevens binnen de gemeentelijke organisatie. Zo zijn er recent twee datalekjes ontstaan die te maken hebben met achtergebleven dossiers in een oude kast en informatie die op parkeerbonnen staat.
Elke overheidsorganisatie is verplicht om een Functionaris Gegevensbescherming, kortweg FG, aan te stellen. Dat is enkele jaren geleden al vastgelegd in de privacywet AVG. Tot op heden ontbreekt het in Enschede echter aan een duidelijk reglement dat ervoor moet zorgen dat de FG zijn of haar werk onafhankelijk kan doen. Immers, het is de taak van deze persoon om erop toe te zien dat er binnen het ambtelijke apparaat zorgvuldig met persoonsgegevens wordt omgegaan. Met een hamerklap zal de gemeenteraad komende maandag zo'n reglement vaststellen.
In een bijeenkomst van commissieleden bleek dinsdagavond dat er geen bezwaren zijn vanuit de gemeenteraad. Privacy en dataverzameling zijn in de lokale politiek over het algemeen niet de meest sexy onderwerpen, maar een recent datalek na een cyberaanval in de gemeente Hof van Twente - maar ook de boete van 6 ton die Enschede kreeg vanwege wifi-tellen -heeft de zaken in ieder geval in de ambtelijke organisatie op scherp gezet.
Dat Enschede juist nu met een reglement komt om de taken en onafhankelijkheid van de privacy-ambtenaar te borgen, lijkt dan ook geen toeval. Sinds 1 december 2022 is er in de persoon van Sylvia Meinders een nieuwe FG aangesteld bij de gemeente Enschede. Bij de behandeling van haar taakomschrijving liet wethouder Vedder dinsdagavond merken dat zij al actief aan de slag is. Sterker, in de voorbije weken werden er zelfs twee datalekken geconstateerd.
Of beter gezegd: datalekjes. Want in orde van grootte vallen ze relatief gezien mee. Toch gaat het om slordigheden die laten zien dat een fout bij het delen van persoonsgegevens snel is gemaakt. Door de gemeente Enschede zijn bijvoorbeeld onlangs oude kasten verkocht. Een handeling waarbij doorgaans meerdere medewerkers betrokken zijn. Echter is het niemand opgevallen dat er een kast met daarin achtergebleven dossiers met persoonsgegevens van de hand is gedaan.
"Die zijn door een eerlijke ondernemer gevonden en teruggebracht naar de gemeente. Er is gelukkig dus niets mee gebeurd", aldus Harmjan Vedder. Het andere datalek betreft een specifieke parkeerboete (parkeren op het groen) die niet vaak wordt uitgeschreven, maar in de afgelopen weken 17 keer.
Op de bonnen bleken te veel persoonsgegevens van de overtreder in kwestie te staan. "De bonnen werden nog via een ander computersysteem uitgeschreven dan de normale parkeerbonnen", laat Vedder desgevraagd weten. "Dat systeem hebben we nu dus uitgezet."
In het nieuwe reglement is vastgelegd dat de privacy-ambtenaar bij constatering van datalekken twee rapportages doet. Eén aan de gemeentesecretaris, Kees Meijer, die als leidinggevende van de ambtelijke organisatie zorg draagt voor een oplossing. De andere rapportage is aan wethouder Harmjan Vedder, die vanuit zijn portefeuille die politieke verantwoordelijkheid draagt voor privacy. Ook wordt er standaard een melding gedaan bij de Autoriteit Persoonsgegevens.
De personen in kwestie worden afhankelijk van de situatie ingelicht. Bij de kast vol dossiers is dat niet gebeurd, omdat het oude gegevens betrof van de jaren 2004 tot 2016. De gemeenteraad wordt niet standaard ingelicht bij elk datalek. Wel klinkt er vanuit met name partijen als D66, Volt en SP de wens om jaarlijks via een verslag op de hoogte te worden gehouden van de bevindingen van de Functionaris Gegevensbescherming. Wethouder Vedder heeft toegezegd dat zo'n jaarlijks verslag er komt.