De Autoriteit Persoonsgegevens (AP) bezoekt de komende maanden steekproefsgewijs verschillende gemeenten. Het doel van deze inspecties is om te controleren hoe gemeenten omgaan met de persoonsgegevens en privacy van burgers. En om gemeenten, waar nodig, de juiste richting op te helpen.
“Iedereen heeft te maken met de gemeente. Het is het loket voor veel persoonlijke zaken in je leven”, zegt AP-vicevoorzitter Monique Verdier. “Denk aan het registreren van de geboorte van je kind, het overlijden van een familielid, het aanvragen van een paspoort of het verlengen van je rijbewijs.”
Gemeenten gebruiken zeer veel gegevens van hun inwoners. Dat vraagt om zorgvuldigheid. Zoals Verdier zegt: “Dan moet jij erop kunnen vertrouwen dat de gemeente uiterst zorgvuldig met jouw gegevens omgaat. De AP ziet gemeenten hier soms nog wel mee worstelen. Met de steekproef gaat de AP de komende tijd aandacht vragen voor dit onderwerp en gemeenten de goede weg op helpen. Misschien zijn zaken nog niet duidelijk genoeg, of twijfelen gemeenten aan welke dingen ze precies moeten doen. Daar kan de AP duidelijkheid verschaffen. Veel mensen kennen de AP van de boetes die we uitdelen; minder bekend is dat we veel van onze capaciteit inzetten om te helpen. Dat wordt nu hopelijk zichtbaarder.”
Ter plekke kijken
In 2024 schreef de AP in het sectorbeeld Overheid dat veel van de ruim 300 Nederlandse gemeenten nog worstelen met het beschermen van de enorme hoeveelheden persoonlijke informatie die zij van hun inwoners hebben. En dat gemeenten hun informatiebeleid nog niet altijd op orde hebben. Mede om die reden gaat de AP in 2025 bij een aantal gemeenten langs. Zo kunnen AP-inspecteurs ter plekke een beter beeld vormen en advies geven.
Liever helpen dan straffen
“Het uiteindelijke doel van deze toezichtsbezoeken is de bescherming en vrijheid van mensen. Het toezien op naleving van de privacyregels door gemeenten is daartoe een middel. De AP is er niet op uit om gemeenten te bestraffen. Liever helpen we ze op weg,” aldus Verdier.
Aandachtspunten
De AP kijkt tijdens de bezoeken onder meer naar drie belangrijke punten:
-
Hebben gemeenten een volledig en actueel overzicht van alles wat zij met persoonsgegevens van inwoners doen? Gemeenten zijn wettelijk verplicht een zogenoemd verwerkingsregister bij te houden. Burgers moeten kunnen weten wat hun gemeente met hun gegevens doet.
-
Brengen gemeenten privacyrisico’s goed in kaart voordat zij persoonsgegevens gebruiken? Zulke risicoanalyses (DPIA’s) zijn vaak wettelijk verplicht, omdat de impact groot kan zijn als het misgaat.
-
Is het interne privacytoezicht goed geregeld? Elke gemeente moet een functionaris voor gegevensbescherming (FG) hebben. Die moet onafhankelijk kunnen optreden en gevraagd en ongevraagd advies geven.
Leren van elkaar
Deze basis op orde hebben, is essentieel voor een zorgvuldige omgang met persoonsgegevens. Daar hebben inwoners recht op. Daarom gaat de AP bij gemeenten kijken hoe het ermee staat. De bevindingen worden gedeeld met de bezochte gemeenten, en waar nodig legt de AP uit hoe zij zaken kunnen verbeteren. Ook andere gemeenten kunnen daarvan leren.
