Gemeenten hebben veel persoonsgegevens van inwoners en moeten daar op een goede manier mee omgaan. Maar hebben ze dat ook allemaal goed geregeld? De Autoriteit Persoonsgegevens (AP) bezoekt de komende maanden steekproefsgewijs verschillende gemeenten.

Het doel van deze inspecties is om te controleren hoe gemeenten omgaan met de persoonsgegevens en privacy van burgers. En om gemeenten, waar nodig, de juiste richting op te helpen.

“Iedereen heeft te maken met de gemeente. Het is het loket voor veel persoonlijke zaken in je leven”, zegt AP-vicevoorzitter Monique Verdier. “Denk aan het registreren van de geboorte van je kind, het overlijden van een familielid, het aanvragen van een paspoort of het verlengen van je rijbewijs.”

Gemeenten gebruiken kortom zeer veel gegevens van hun inwoners. Verdier: “Dan moet jij erop kunnen vertrouwen dat de gemeente uiterst zorgvuldig met jouw gegevens omgaat. De AP ziet gemeenten hier soms nog wel mee worstelen. Met de steekproef gaat de AP de komende tijd aandacht vragen voor dit onderwerp en gemeenten de goede weg op helpen. Misschien zijn zaken nog niet duidelijk genoeg, of twijfelen gemeenten aan welke dingen ze precies moeten doen. Daar kan de AP duidelijkheid verschaffen. Veel mensen kennen de AP van de boetes die we uitdelen; minder bekend is dat we veel van onze capaciteit inzetten om te helpen. Dat wordt nu hopelijk zichtbaarder.”

Ter plekke kijken

In 2024 schreef de AP in het sectorbeeld Overheid dat veel van de ruim 300 Nederlandse gemeenten nog worstelen met het beschermen van de enorme hoeveelheden persoonlijke informatie die zij van hun inwoners hebben. En dat gemeenten hun informatiebeleid nog niet altijd op orde hebben. Mede om deze reden gaat de AP in 2025 bij een aantal gemeenten langs. Zo kunnen AP-inspecteurs ter plekke een beter beeld vormen en advies geven.

Liever helpen dan straffen

Verdier: “Het uiteindelijke doel van deze toezichtsbezoeken is de bescherming en vrijheid van mensen. Het toezien op naleving van de privacyregels door gemeenten is daartoe een middel. De AP is er niet op uit om gemeenten te bestraffen. Liever helpen we ze op weg.”

Aandachtspunten

De AP kijkt tijdens de bezoeken onder meer naar deze 3 punten:

Hebben de gemeenten een volledig en actueel overzicht van alles wat zij met persoonsgegevens van inwoners doen? Gemeenten zijn wettelijk verplicht een zogenoemd verwerkingsregister bij te houden. Want burgers moeten kunnen weten wat hun gemeente met hun gegevens doet.

Brengen gemeenten eventuele privacyrisico’s goed in kaart voordat zij persoonsgegevens ergens voor gaan gebruiken? Zulke risicoanalyses zijn vaak ook wettelijk verplicht, juist omdat de impact heel groot kan zijn als het misgaat.

Hebben gemeenten hun interne privacytoezicht goed geregeld? Elke gemeente in Nederland moet een functionaris gegevensbescherming (FG) hebben. Een FG is een interne toezichthouder die gevraagd en ongevraagd aan de bel moet kunnen trekken. En die volledig onafhankelijk kan optreden.

Leren

Deze zaken op orde hebben, vormt de basis voor een correcte omgang met persoonsgegevens. Daar hebben inwoners recht op. Daarom gaat de AP bij gemeenten kijken hoe het zit. Vervolgens deelt de AP de bevindingen met de bezochte gemeenten en legt, indien nodig, uit hoe zij zaken moeten verbeteren. Ook andere gemeenten kunnen daarvan leren.