De gemeente Almere beschermt persoonsgegevens van burgers onvoldoende. Daarnaast is het onvoldoende transparant over de verwerking van deze gegevens, worden rechten van betrokkenen niet gewaarborgd en wordt er niet voldaan aan alle verplichtingen vanuit de Wet politiegegevens (Wpg). Dat stelt de Functionaris Gegevensbescherming (FG) van de gemeente in de Privacy Jaarrapportage 2024 (pdf). De FG houdt binnen organisaties toezicht op de toepassing en naleving van de AVG.

Voor de jaarrapportage keek de FG onder andere naar het datalekregister dat de gemeente gebruikt voor het registreren van datalekken. Zo komt het register qua structuur niet geheel overeen met de vereisten vanuit de Autoriteit Persoonsgegevens, waardoor verplicht te registreren informatie niet bij elk datalek is vastgelegd. Verder blijkt bij een deel van de meldingen preventieve maatregelen te ontbreken en heeft de gemeente geen proces om te controleren of preventieve maatregelen worden uitgevoerd.

Tevens blijkt dat het intern melden van een datalek door medewerkers in ruim twintig procent van de gevallen te laat plaatsvindt. De FG stelde ook vast dat niet in alle gevallen preventieve maatregelen worden opgevolgd. "Dit heeft in een aantal gevallen geleid tot herhaling van vergelijkbare datalekken."

Een ander kritiekpunt is de manier waarop de gemeente met Data Protection Impact Assessments (DPIA’s) omgaat. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. "Het ontbreken van DPIA’s voor bestaande processen, zeker op processen waarbij dit verplicht is, is een ernstige tekortkoming", oordeelt de FG. De gemeente stelde in 2020 de doelstelling om eind 2024 alle DPIA’s voor bestaande verwerkingen te hebben afgerond, maar die is niet gehaald.

Volgens de Functionaris Gegevensbescherming is het essentieel dat de gemeente, college, concerndirectie, management en medewerkers aandacht blijven houden voor privacy en zich bewust zijn van hun wettelijke en morele verplichtingen. Naast de kritiek stelt de FG dat de gemeente privacy steeds vaker meeneemt bij de ontwikkeling van nieuw beleid, nieuwe samenwerkingen en digitaliseringsprojecten. Ook is de gemeente zich steeds meer bewust van het belang van het beschermen van persoonsgegevens.

Het college van burgemeester en wethouders laat in een brief aan de gemeenteraad weten dat de observaties van de FG herkenbaar zijn. "Er zijn stappen voorwaarts gemaakt, maar er is nog steeds ruimte voor verbetering." Het college geeft ook aan dat de eerder geformuleerde ambitie om eind 2024 te voldoen aan het wettelijk vereiste volwassenheidsniveau op het gebied van de AVG achteraf niet realistisch was.