Analyse naar aanleiding van het Jaarverslag Gegevensbescherming 2024 (FG-verslag, d.d. 24 februari 2025)
De gemeente De Bilt slaagt er niet in om de digitale privacy van haar inwoners adequaat te beschermen. Uit het officiële verslag van de Functionaris Gegevensbescherming (FG) over 2024 blijkt een duidelijke achteruitgang. Het volwassenheidsniveau is gedaald van 1.9 naar 1.5 (p.6), met als conclusie:
“De AVG-naleving vertoont een neergaande lijn; de weg om het beschermingsniveau te behalen stagneert en daalt.” (p.3)
Privacybeleid verouderd, uitvoering zwak
De basis is al niet op orde. Het privacybeleid dateert uit 2019 en sluit niet aan op de eisen van deze tijd:
“Het ontbreekt aan adequaat (herzien) privacybeleid, het huidige beleid is bijna 6 jaar oud.” (p.3)
“Het privacybeleid is niet op orde, het is verouderd en er is geen Wpg-beleid.” (p.11)
Daarbovenop komt een gebrekkige uitvoering:
“Aan het activiteitenplan is in 2024 beperkt gewerkt en de doorlopende acties zijn beperkt uitgevoerd.” (p.7)
Onvoldoende bescherming persoonsgegevens
De gemeente laat steken vallen in álle kritieke onderdelen van de AVG-naleving:
Beveiliging: “Het generiek beeld is dat de BIO-maatregelen vooral informeel bestaan; opzet, bestaan en werking ervan kunnen niet worden aangetoond.” (p.6)
Processen: “Er is nog geen procedure vastgelegd waar nieuwe en gewijzigde verwerkingen moeten worden gemeld.” (p.12)
Samenwerkingen: “De organisatie heeft niet of nauwelijks inzichtelijk welke AVG-rollen externe partijen innemen.” (p.13)
In 2024 waren er bovendien 10 beveiligingsincidenten met datalekken (p.10), terwijl de raad hier niet actief over is geïnformeerd.
AI, jeugdzorg en kwetsbare domeinen niet gewaarborgd
Met de opkomst van AI en de groeiende digitalisering in jeugdzorg en sociaal domein groeit het risico. Maar de bescherming blijft achter:
“Er zijn zorgen over privacy bij het inzagerecht op jeugdhulpdossiers.” (p.8)
“Let op met AI. Laat AI geen besluiten nemen en besluit niet zomaar op basis van AI.” (p.13)
Politiek falen of bestuurlijke stuurloosheid?
Het rapport is vlijmscherp:
“De organisatie controleert nog niet periodiek of applicaties daadwerkelijk verwijderen of anonimiseren conform het bewaarbeleid.” (p.12)
“De status van het onderwerp beveiliging is een grote zorg.” (p.10)
Ook de rolverdeling is vaag. De Functionaris Gegevensbescherming krijgt onvoldoende mandaat:
“De FG wordt nog niet vroegtijdig betrokken of altijd vooraf geïnformeerd bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.” (p.12)
VVD De Bilt: Tijd voor actie en regie
De VVD De Bilt vindt deze situatie onacceptabel. Een overheid die persoonsgegevens verzamelt, moet deze veilig beheren. Dat is geen papieren verplichting, maar een fundamentele plicht tegenover inwoners.
Wij eisen:
- Actueel privacybeleid vóór Q3 2025, inclusief Wpg-beleid;
- Structurele verankering van privacy in alle gemeentelijke teams – niet slechts bij één officer;
- Jaarlijkse voortgangsrapportage aan de raad en toetsbare beleidsdoelen;
- Aankoop en inzet van AI alleen na expliciete toetsing op privacy-effecten en burgerrechten.
Tot slot
De AVG is geen administratieve last, maar bescherming van onze vrijheid. De gemeente moet niet achter de feiten aanlopen.
Zoals het verslag zelf stelt:
“De AVG beschermt personen tegen de risico’s van digitalisering. Kleine fouten kunnen grote gevolgen hebben.” (p.3)
Het is aan ons als raad en bestuur om nu te laten zien dat we de bescherming van inwoners serieus nemen.