De afgelopen jaren zijn er een aantal incidenten geweest waar gemeenten de Privacy geschonden hebben. De lijst is erg lang. Met name in 2011 kwamen veel schendingen aan het licht door Lektober.

Bij het CBP staan verschillende gemeenten aangemeld met een Functionaris voor de Gegevensbescherming (FG). Deze lijst met FG’s is op het CBPweb te vinden. In deze lijst staan 46 gemeenten die zich hebben aangemeld, 15 ministeries, geen verzekeraars en al helemaal geen financiële instellingen. Het valt me ook op dat de grote gemeenten als Amsterdam, Rotterdam, Den Haag, Utrecht en Almere niet op deze lijst voorkomen. Betekent dit dat deze gemeenten niet alles op orde hebben?

Hier volgen een aantal voorbeelden van gemeenten die de verwerking van persoonsgegevens nog niet serieus hebben genomen.

• Rotterdam Charlois, een dwangsom van het College bescherming persoonsgegevens (CBP) vanwege  structureel verwerken van gegevens over ras en etniciteit.
• Gemeente Spijkenisse, openbaarmaking van privacygevoelige gegevens van verschillende cliënten van de gemeentelijke Sociale Dienst van Spijkenisse.
• Gemeente Best, het niet tijdig melden van verwerking van gegevens.
• Gemeente Den Helder, gegevens van ruim 1600 burgers te liggen op straat.
• Amsterdamse gemeentevervoerbedrijf GVB, de reis- en kaartgegevens van studenten met een OV-chipkaart worden te lang bewaard.
• Lektober 2011, een verzameling van schendingen van de Privacy.
• Studio 100 in Belgie, persoonlijke gegevens van bekende Nederlanders en Belgen zijn door geblunder van mediabedrijf Studio 100 gelekt.
• Gemeenten Goes, Borsele, Kapelle en Tholen, een lek in de gegevens van de WOZ en taxatie verslagen.
• Gemeente Amsterdam, de website voor banen bleek niet waterdicht.
• Gemeente Eindhoven, WMO wel heel erg maatschappelijk; 14.000 personen bekend op internet.
• Via Google met de zoekterm ‘gemeente gegevens op straat‘ (777.000 resultaten)
• Via Google met de zoekterm ‘schending cbp gemeente‘ (144.000 resultaten)
• Via Google met de zoekterm ‘dwangsom cbp gemeente‘ (17.000 resultaten)
• Via Google met de zoekterm ‘boete cbp gemeente‘ (281.000 resultaten)

Daarnaast worden bij veel gemeenten zogenaamde zwarte lijsten gebruikt. Vaak zijn deze niet van de Gemeente zelf maar van een stichting of vereniging. Misschien wel stichtingen of vereningen die gegevens hebben ontvangen uit het GBA (Gemeentelijke Basis Administratie).

Opvallend is dat vaak een ‘lek’ of ‘hack’ bij een gemeente wordt veroorzaakt door systemen van derden. Externe partijen voeren een activiteit uit. Na verloop van tijd verloopt de activiteit maar het systeem blijft bestaan. Hierdoor ontstaan gevaren in relatie tot Privacy. Het resultaat is wel dat de gemeente in kwaad daglicht komt te staan. In de pers wordt de gemeente als eerste aangesproken.

Ja kan stellen dat de kosten die een dergelijk risico met zich meebrengt niet direct kunnen worden gerelateerd aan de entiteit die de kosten heeft veroorzaakt. Door een ‘lek’ in een belasting-systeem van een externe partij moet marketing kosten worden gemaakt om het probleem op te lossen. Deze kosten staan nergens beschreven en zijn niet gebudgetteerd.

Dat maakt privacy-schending tot een risicovolle externe kostenpost waar weinig aandacht aan geschonken wordt.