AP wil Nederlandse gemeenten helpen omgaan met privacy inwoners

De Autoriteit Persoonsgegevens gaat op inspectie bij Nederlandse gemeenten om te kijken hoe de overheidsorganen omgaan met de persoonsgegevens en privacy van inwoners. Het is volgens de toezichthouder de bedoeling dat gemeenten hiermee geholpen worden en van elkaar leren.

De AP kondigt aan dat er de komende maanden steekproefsgewijs gemeenten geïnspecteerd worden om te controleren of zij op de juiste manier met persoonsgegevens omgaan. De toezichthouder claimt: "Het uiteindelijke doel van deze toezichtsbezoeken is de bescherming en vrijheid van mensen. De AP is er niet op uit om gemeenten te bestraffen. Liever helpen we ze op weg."

Dat wil de organisatie doen door onderzochte gemeenten advies te geven en verbeterpunten te delen, mochten er problemen met de verwerking van persoonsgegevens ontdekt worden. Tegelijk moeten andere gemeenten leren van deze ondervindingen.

Er zijn drie aandachtspunten, aldus de toezichthouder. Zo gaat de AP controleren of gemeenten een 'volledig en actueel overzicht' in de vorm van een wettelijk verplicht verwerkingsregister hebben van wat zij met persoonsgegevens doen, of gemeenten een eveneens verplichte risicoanalyse hebben van de eventuele privacyrisico's van dataverwerking en of gemeenten 'hun interne privacytoezicht goed geregeld' hebben. Daarvoor wordt bij iedere Nederlandse gemeente een functionaris gegevensbescherming aangesteld.

De Autoriteit Persoonsgegevens is veel met Nederlandse gemeenten bezig omdat dit plekken zijn waarbij vanzelf veel persoonsgegevens van inwoners betrokken zijn. In het verlengde daarvan hield de toezichthouder tot voor kort verscherpt toezicht op de gemeente Eindhoven, uitte hij kritiek op hoe gemeenten algoritmes gebruiken en werden er boetes uitgedeeld.

Door Yannick Spinner

Redacteur

Feedback • 13-05-2025 15:25
23 • submitter: wildhagen

13-05-2025 • 15:25

23

Submitter: wildhagen

Lees meer

Utrecht zette vorig jaar zeven keer cameradrones in bij demonstraties
Utrecht zette vorig jaar zeven keer cameradrones in bij demonstraties Nieuws van 6 juni 2025
Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel
Omrop Fryslân onderschept gegevens door ontbrekende domeinnaam Dantumadiel Nieuws van 20 mei 2025
Hackers stelen data van honderdduizenden Britten die om rechtsbijstand vroegen
Hackers stelen data van honderdduizenden Britten die om rechtsbijstand vroegen Nieuws van 19 mei 2025
Nederlands Register voor Functionarissen voor Gegevensbescherming is actief
Nederlands Register voor Functionarissen voor Gegevensbescherming is actief Nieuws van 16 mei 2025
EU geeft VK 'uitzonderlijke' verlenging toestemming voor uitwisseling data
EU geeft VK 'uitzonderlijke' verlenging toestemming voor uitwisseling data Nieuws van 6 mei 2025
AP benadrukt: bezwaar maken tegen AI-training Meta moet voor 27 mei - update
AP benadrukt: bezwaar maken tegen AI-training Meta moet voor 27 mei - update Nieuws van 24 april 2025
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries
Datalek met persoonsgegevens ambtenaren treft alle Nederlandse ministeries Nieuws van 18 april 2025
Autoriteit Persoonsgegevens zoekt ervaringen met AI die emoties herkent
Autoriteit Persoonsgegevens zoekt ervaringen met AI die emoties herkent Nieuws van 18 april 2025
Autoriteit Persoonsgegevens krijgt opnieuw niet budget waar zij om vraagt
Autoriteit Persoonsgegevens krijgt opnieuw niet budget waar zij om vraagt Nieuws van 18 april 2025
AP waarschuwt 50 organisaties om 'misleidende' cookiebanner
AP waarschuwt 50 organisaties om 'misleidende' cookiebanner Nieuws van 15 april 2025
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens Nederland

Reacties (23)

-Moderatie-faq
23
22
14
1
0
7
Wijzig sortering
Floort
13 mei 2025 15:36
Voor dit soort advieswerk kunnen gemeentes in principe ook zelf personeel aannemen of externen inhuren. Ik vraag me af of het niet beter is als de AP, met een gigantisch tekort aan capaciteit en middelen, zich meer gaat richten op activiteiten die alleen de AP kan doen zoals handhaven.
Het kan hier ook mogelijk lastig worden met de beginselplicht tot handhaving. Het is heel lastig om dit soort controles uit te voeren zonder overtredingen aan te treffen. De AP mag dan niet zomaar besluiten om niet te handhaven. Blijft het wel bij advies kunnen andere verantwoordelijken waarbij vergelijkbare overtredingen worden ontdekt volgens mij legitiem verwachten dat ze gelijkwaardig behandeld worden.
wildhagen
@Floort13 mei 2025 15:41
Voor dit soort advieswerk kunnen gemeentes in principe ook zelf personeel aannemen of externen inhuren.
In principe wel, maar dan zie ik al 4 potentiële problemen/risico's:

1) Er is al een enorm personeelstekort, dat werven door 100+ gemeenten wordt dus al lastig
2) Er is al vaak weinig budget bij gemeenten, en in 2026 wordt dat met het 'ravijnjaar 2026' nóg minder
2a) extern personeel inhuren is doorgaans best duur, en dan zit je nog altijd met punt 1 én 2.
3) Dan gaat elke gemeente individueel het wiel opnieuw uitvinden, wat niet heel erg (kosten)effiicent is.
4) Niet elke gemeente zal dit (voldoende) belangrijk vinden waardoor er mogelijk niets mee gebeurt, zeker met punt 2 in het achterhoofd.

Of het AP de juiste instantie is kan je over discussieren, maar dat er een centrale organisatie is die zich hiermee bezig houdt lijkt me wel handig en positief.

[Reactie gewijzigd door wildhagen op 13 mei 2025 15:43]

Floort
@wildhagen13 mei 2025 15:46
1) Is ook van toepassing op de AP. En dat kan gedeeltelijk worden opgelost met externe adviseurs die efficienter op meerdere plekken kunnen helpen. Bijvoorbeeld bij marktpartijen of via de VNG.
2) Fair point, maar ook een reden om te twijfelen aan het nut van deze aanpak. Vanaf buiten adviseren dat de gemeente meer werk moet doen om compliant te worden helpt niet echt als er geen geld is om met het advies aan de slag te gaan.
3) Dat hoeft niet. Gemeenten kunnen prima samenwerken en doen dat in de praktijk ook al. Bijvoorbeeld via de VNG.
4) Dat is precies waar je handhavingsbevoegdheden voor nodig hebt.

Edit: Onder 2a zie ik dat gemeenten die mij inhuren mijn werk al onderling delen. Dat kan ik alleen maar aanmoedigen. Het heeft voordelen bovenop het delen van kosten.

[Reactie gewijzigd door Floort op 13 mei 2025 15:56]

ComputerGekkie @Floort13 mei 2025 16:17
Ja leuk al die marktpartijen. Dat uitbesteden is voor sommige dingen prima (zoals bouwen), maar het is ook belangrijk dat al die kennis in house (binnen de nationale overheid of bij het lokale bestuur zelf) beschikbaar is en blijft.

Onder andere bij het dossier 'energietransitie' hebben we gezien wat het effect is als je die kennis niet zelf behoud en uitbesteed. Dan krijgen we allemaal adviesbureautjes die dezelfde informatie bij verschillende gemeenten gaan verkopen, dat kost klauwen met (extra) publieks geld. Daarnaast zit die kennis en ervaring dan niet meer bij een overheidsorgaan maar bij een adviesbureau.

Bron over energie transitie https://nos.nl/nieuwsuur/...over-bij-energietransitie
Floort
@ComputerGekkie13 mei 2025 16:22
Ik beweer ook niet dat alles maar moet worden uitbesteed. Ik zie gemeenten liever investeren in goed eigen personeel. En dat de kennis uit externe inhuur zoveel mogelijk wordt gedeeld zodat er in ieder geval niet doorlopend voor hetzelfde belastinggeld uitgegeven moet worden.
RSH @Floort14 mei 2025 09:28
Met name delen van kennis en zorgen dat deze binnen de gemeente beschikbaar is en blijft, blijft moeilijk als het weer één van de vele “prio 1” zaken op een hoge stapel van de 1e lijn is. Zeker als er geen bewustzijn, interesse en duidelijke aansturing is (of aan symptoom-management wordt gedaan in plaats van structurele opbouw van een organisatie).
Dit in combinatie met de carroussel (na 2 jaar is 85% van bij een implementatie betrokken medewerkers en functionarissen al weer op een andere plek binnen of (vaak ook) buiten die gemeente werkzaam) maakt het in mijn ervaring soms een uitdaging om duidelijke verbeteringen stevig verankerd te krijgen, in plaats van elke paar jaar hetzelfde riedeltje te horen binnen gemeenten (en andere overheidsinstanties).
delphium @ComputerGekkie14 mei 2025 09:38
Wat jij zegt, klopt helemaal. Daar komt nog bij dat heel veel van die kennis al lang aanwezig is binnen diezelfde overheid. Instanties als RVO en DUO, maar ook de Belastingdienst, hebben ontzettend veel kennis en ervaring in huis op het gebied van privacywaarborging en informatiebescherming. Maar ook op datamanagementgebied zou de VNG best kunnen aankloppen voor het delen van die kennis. Dat die taak bij het AP wordt belegd vind ik best vreemd en onlogisch.
Zer0 @Floort13 mei 2025 16:20
Vanaf buiten adviseren dat de gemeente meer werk moet doen om compliant te worden helpt niet echt als er geen geld is om met het advies aan de slag te gaan.
Moet er per definitie meer werk gedaan worden? Veel kan wellicht met een aanpassing van procedures, betere afspraken etc.
Floort
@Zer013 mei 2025 16:35
Niet per definitie. Het is ook mogelijk dat de AP geen problemen aantreft. Maar mijn proffesionele ervaring met het in kaart brengen van gegevensverwerkingen en andere door de AP genoemde aandachtspunten is dat je er over het algemeen wel vanuit mag gaan dat het werk gaat kosten. Als de AP grondig gaat controleren dan gaat het meewerken om de benodigde informatie op te leveren al veel werk kosten.
Tc99m @Floort13 mei 2025 15:57
Adviseren en voorlichting geven is ook een van de taken van de AP:
De AP houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Andere belangrijke taken van de AP zijn onder meer adviseren over nieuwe wet- en regelgeving, voorlichting geven over de privacywetgeving en internationale taken.
(https://www.rijksoverheid...toriteit-persoonsgegevens)

Dus op zich past dit uitstekend binnen de werkzaamheden van de AP. Het is ook goed dat er zich een instantie mee bemoeit die geen winstoogmerk heeft.
De AP kan gemeentes helpen met de grote lijnen uitzetten, de gemeente kan het dan zelf verder oppakken om om het uit te werken en te implementeren (eventueel met ingehuurde externe hulp).

[Reactie gewijzigd door Tc99m op 13 mei 2025 15:58]

kodak
@Tc99m13 mei 2025 17:13
Zelfs al zou je de bedoeling van de wet zo ruim in lezen, de taak tot handhaven met bestraffen is daar niet zomaar aan ondergeschikt. Dat ging nog op toen de wet net nieuw was. Maar die tijd is allang voorbij.

Het helpen hoort dus beperkt te worden en zeker niet zomaar opgerekt te worden omdat de toezichthouder de taak tot straffen liever niet uitvoert. Daarbij is er in de afgelopen bijna 10 jaar dat de toezichthouder bestaat al zoveel tijd en hulp gegeven om te zorgen dat iedereen zelf verantwoordelijkheid neemt dat het extra helpen van gemeenten nogal ongepast is bij de onafhankelijke taak van het toezicht naar de slachtoffers van wie hun rechten al jaren massaal geschonden blijven worden.

Het bestraffen hoort een duidelijk gevolg te zijn bij wetsovertredingen met andermans persoonlijke gegevens, niet het extra en selectief gaan helpen van de overtreders. Het bestraffen heeft namelijk ook als doel dat men zelf en op tijd verantwoordelijkheid neemt, in plaats van risico's.
Floort
@Tc99m13 mei 2025 16:03
Dat gaat over de taak onder artikel 57(1)(c) van de AVG. Dat zijn de wetgevingsadviezen. Dat zijn geen adviezen over de compliance van concrete verwerkingsverantwoordelijken.
Zer0 @Floort13 mei 2025 16:08
voorlichting geven over de privacywetgeving
Die voorlichting geven ze op de website ook, nu gaan ze dat (in combinatie met inspecties) ook wat gerichter doen.
Floort
@Zer013 mei 2025 16:18
Dat is de taak onder 57(1)(d) van de AVG. Uit overweging 132 maak ik op dat dat bedoeld is als het geven van publieke voorlichting. En zuiver naar het lijstje taken van de AP te kijken om te kijken of het ongeveer onder een van de taken zou kunnen passen is niet voldoende. De uitvoering moet ook bestuursrechtelijk kunnen. En dan denk ik bijvoorbeeld aan de hierboven genoemde beginselplicht tot handhaving en de verplichting om gelijke gevallen gelijk te behandelen.
Zer0 @Floort13 mei 2025 16:07
Er word een inspectie gedaan om te kijken in hoeverre men aan de eisen voldoet... dat lijkt mij gewoon vallen onder handhaven.
Floort
@Zer013 mei 2025 16:20
Dan zou je onder artikel 58 van de AVG moeten kijken naar de bevoegdheden. Er moeten dan handhavingsbesluiten genoemen worden met een reprimande, bevel, boete, ... Adviseren staat niet in dat rijtje.

Een nuancering: Er staan wel adviesbevoegdheden in art. 58(3) AVG. Maar deze bevoegdheden moet je alsnog in de context beoordelen. Zoals ik al eerder heb gezegd moet de AP ook met andere wetgeving rekening houden. As de AP mag adviseren betekent dat niet dat alle manieren van advies geven ook mogen of verstandig zijn.

[Reactie gewijzigd door Floort op 13 mei 2025 16:55]

svenk91 @Floort13 mei 2025 16:17
Daarvoor dienen gemeenten o.a. een functionaris gegevensbescherming te hebben. Maar ja, wie binnen de gemeente controleert die weer? Het managementteam kan met de grote verscheidenheid aan werk bij gemeenten vaak lastig inhoudelijk oordelen of iemand goed werk levert.

Alleen al dat er steekproeven met resulterende adviezen komen houd ze mogelijk al iets scherper, want met een ‘advies’ van “die bakt er niks van, dat moet echt beter” gaan er wel vragen gesteld worden. Maar door het als advies te presenteren vanuit het AP staan de deuren sneller open en wordt er meer openheid van zaken gegeven door medewerkers.

Is dit een ideale gang van zaken? Nee. Maar ik denk dat het wel een pragmatische insteek is die tot verbetering gaat leiden. Veel van de functionarissen doen ook wel prima werk trouwens, die genen die een schop onder de kont kunnen gebruiken zal een kleine minderheid zijn, maar ook die hardwerkende ambtenaren hebben wel baat bij een 2de paar ogen een middagje.
kodak
13 mei 2025 15:59
De AP is er niet op uit om gemeenten te bestraffen. Liever helpen we ze op weg.
Bestraffen is op weg helpen. Er is jaren lang aan bedrijven en organisaties de tijd gegeven om zichzelf op weg te helpen aan de strengere wetgeving te gaan en blijven voldoen zonder bestraffing. Als verwerking nu bij inspectie nog steeds niet op orde blijkt dan hoort men het bestraffen toe te passen. Dat is vervelend maar het moet toch echt gaan gebeuren, anders leert men het nooit dat er niet voor niets negatieve gevolgen zijn. Zowel als toezichthouder als bedrijven en organisaties. De onafhankelijkheid is ook in het geding als de toezichthouder bij overtredingen liever de crimineel helpt dan bestraft. Het bestraffen is ook om duidelijk te maken dat het blijven benadelen van slachtoffers echt niet kan en dus zware negatieve gevolgen heeft. Niet bestraffen en dan ook nog de criminelen liever behulpzaam zijn is juist niet de bedoeling.
BigSmurf @kodak13 mei 2025 16:33
Dat is wel heel zwart wit, en dat zijn meer reacties hier. Ik snap dat deels wel, maar er is een groot grijs gebied tussen wat niet mag, wat wel mag en wat wel/misschien/niet wénselijk is. Dat de AP een klein stukje van de schaarse resources toewijst aan het helpen van gemeenten die de komende jaren op steeds meer essentiële gebieden moeten bezuinigen, terwijl ze juist ook op heel veel essentiële, verschillende complexe gebieden persoonsgegevens móeten verwerken, vind ik best een goed idee. Dat hoeft helemaal geen vuistdikke adviesrapporten op te leveren, maar men kan wel in gesprek gaan en kijken waar bijvoorbeeld overkoepelende knelpunten zitten, controleren en richting geven op de belangrijkste aandachtspunten.

We zijn altijd heel goed om dit soort initiatieven direct af te schieten of om de stok te willen gebruiken, maar als je zaken kan oplossen met een wortel, waarom zou je dat dan niet proberen?
kodak
@BigSmurf13 mei 2025 17:39
Het initiatief om nu nog eens liever extra te willen helpen lijkt niet gebaseerd op een noodzakelijkheid. Het handhaven en bestraffen wel. Dat nogal wat mensen liever zo min mogelijk last van bestraffen willen hebben is eerder het opzoeken van het grijze gebied dan recht doen. Alle taken zijn er niet voor niets en het is nooit de bedoeling geweest om daar structureel selectief uitvoering aan te geven. Maar dat is wel wat men doet. Het is op een gegeven moment wel genoeg om wettelijke wel taken tot controle, onderzoek, handhaving en bestraffen te hebben en die al 10 jaar nauwelijks uit te voeren omdat men liever informatief is naar de vele overtreders en verantwoording af schuift.

Als ze nu nog liever extra en selectief overtreders willen helpen in plaats van bestraffen, laaf ze dan eerst maar eens hun taak van onderzoek uitvoeren of dat gepaster is dan bestraffen. Maar aangezien ze nauwelijks inspecties doen, laat staan bestraffen valt eerder te concluderen dat men dat bestraffen eindelijk eens serieus moet gaan nemen.

[Reactie gewijzigd door kodak op 13 mei 2025 17:42]

Oon 13 mei 2025 15:51
Van wat ik begrijp heeft de AP nog altijd zware capaciteitstekorten, maar dan gaan ze wel hier mee bezig?

Ik zie liever dat ze actiever iets gaan doen met meldingen die niet over miljardenbedrijven gaan, of hun backlog bijwerken, of bijvoorbeeld dat ze echt eens werk gaan maken van al die illegaal geplaatste videodeurbellen.
De gemeente heeft mijn gegevens om redenen die ze goed kunnen onderbouwen, tenzij de regering heel veel geld gaat steken in het helpen van onderhouden van IT-infrastructuur en trainen van medewerkers bij de gemeenten is daar maar weinig te winnen, tenzij iedere gemeente ineens verplicht wordt om ISO-9001 en ISO-27001 gecertificeerd te worden en er ook regelmatig (lees: ieder kwartaal op z'n minst) audits worden gedaan.
pling 13 mei 2025 15:44
Ze zijn wel redelijk lief naar "de eigen diensten". Als zoiets als die ambtenaar in Amsterdam, die zonder reden overal bij kan, bij een bank/ energieleverancier etc... gebeurt, dan is de wereld te klein.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq