Nieuws
Raalte moet omgaan met gevoelige informatie verbeteren: incidenten niet goed afgehandeld
De gemeente Raalte moet de omgang met privacygevoelige informatie verbeteren. Ook worden incidenten, zoals datalekken, vaak niet goed afgehandeld. Dat concludeert de Functionaris voor Gegevensbescherming van de gemeente. Een scholingsprogramma moet de alertheid bij ambtenaren vergroten, zonder verbetering is de kans op meer datalekken ‘aannemelijk’.
De afgelopen jaren had Raalte meermaals te maken met privacygevoelige informatie die op straat belandde. Vaak kwam dat doordat ambtelijke stukken die op de gemeentelijke website gepubliceerd werden, niet goed geanonimiseerd werden. Namen van medewerkers, burgers en adressen moeten normaal gesproken ‘zwart gelakt’ worden, voordat stukken online verschijnen. Dat gebeurde in een aantal gevallen niet.
'Noodzaak tot verbetering'
Zo wist een journalist van De Stentor begin dit jaar gevoelige informatie uit een ‘geanonimiseerd’ document met een paar eenvoudige handelingen (selecteren, kopiëren, plakken) zichtbaar te maken. In een andere kwestie waren naam en adres van een familie die haar varkenshouderij op Schoonheten wil uitbreiden op deze manier eenvoudig zichtbaar te maken door een journalist van RTV Oost.
Reden voor de gemeentesecretaris om hulp te vragen: de Functionaris voor Gegevensbescherming moest een oordeel geven over de omgang met privacygevoelige informatie en de afhandeling van datalekken. De conclusie van diens onderzoek is niet voor de poes: de functionaris “benadrukt de noodzaak tot verbetering.”
Bewustzijn is onvoldoende gebleken
Zo is onduidelijk of instructies voor het anonimiseren van documenten wel zijn gecommuniceerd naar ambtenaren. Daarnaast kon de functionaris geen instructies vinden over het handmatig anonimiseren van stukken.
Binnen de gemeentelijke organisatie, zo concludeert de onderzoeker, is het bewustzijn over wanneer stukken geanonimiseerd moeten worden “onvoldoende gebleken.” Het advies is om checklists, werkinstructies en handleidingen bij medewerkers “te (her)introduceren.”
Geen enkel incident op juiste wijze afgehandeld
Ook de afhandeling van datalekken laat volgens de functionaris flink te wensen over. “Van de vijf incidenten die zich de afgelopen jaren hebben voorgedaan rondom het publiceren van stukken, is er niet één incident waarbij deze procedure op de juiste wijze is doorlopen.”
Slechts één incident werd gemeld bij de zogeheten ‘privacy officer’. Voor de vier andere gevallen geldt dat ze helemaal niet terug te vinden zijn in de registratie van datalekken van de gemeente. “Het blijft daardoor onduidelijk op welke manier de gemeente bij die gevallen zorg heeft gedragen voor de privacy van de daarbij betrokken personen.”
Verbeterstappen op korte termijn
Burgemeester Dadema, door zijn portefeuille verantwoordelijk voor de omgang met privacygevoelige informatie, laat in een notitie aan de gemeenteraad weten dat hij snel wil verbeteren. Zo worden aanspreekpunten aangesteld die vaardig zijn in het anonimiseren van documenten, wordt de kwaliteit van het anonimiseren in werkprocessen in beeld gebracht en komt er een onderzoek of er een automatisch anonimiseerproces kan worden ingericht. “De eerste vier verbeterstappen worden op korte termijn uitgevoerd”, belooft Dadema.
