Het ministerie van Sociale Zaken en Werkgelegenheid (SZW) is wat betreft privacy blijven hangen in 2018/2019, zo stelt de Auditdienst Rijk (ADR) in een Rijksbreed AVG-onderzoek (pdf). Sinds 2019 doet de ADR onderzoek naar de toepassing van de AVG binnen de verschillende ministeries. Uit de eerdere onderzoeken bleek dat de inbedding van de AVG 'een uitdaging' is, maar ook dat de Rijksoverheid de laatste jaren stappen heeft gezet naar een hoger volwassenheidsniveau.

Als het gaat om het ministerie van SZW kwam de Auditdienst Rijk verschillende tekortkomingen tegen. Zo beschikt het ministerie niet over een eigen beleid dat aangeeft hoe ‘privacy by design & default’ tot uiting komt binnen het departement en de dienstonderdelen. Ook zijn handvaten over het onderwerp ‘dataminimalisatie’ niet opgesteld. Daarnaast werd er geen documentatie aangetroffen waaruit blijkt dat het inkoopproces zo is ingericht dat bij de inkoop van diensten of systemen waarbij persoonsgegevens worden verwerkt, privacy by design & default wordt meegenomen.

Volgens het ministerie wordt privacy by design in principe bij het inkoopproces wel overwogen, maar vanwege onderbezetting vindt dit in de praktijk niet altijd plaats. De ADR zag ook dat er geen generiek proces is voor het uitvoeren van Data Protection Impact Assessments (DPIA), waarmee de risico's die bij het verwerken van gegevens komen kijken in kaart worden gebracht.

"Aangegeven is dat SZW voor wat betreft privacy is blijven hangen in 2018/2019. In principe was destijds de documentatie op orde, maar door een reorganisatie, hoge werkdruk, ziekte en het vele verloop zijn hier geen updates meer op gedaan", stelt de Auditdienst Rijk in het onderzoeksrapport. De onderzoekers voegen toe dat de wil om te veranderen er wel is en er een roadmap is ontwikkeld die ervoor moet zorgen dat eind dit jaar 'een en ander' op orde is.