Compliance

AVG bij gemeenten: verplichtingen voor de overheid

AVG bij gemeenten: welke grondslag geldt voor de publieke taak, waarom een FG verplicht is en hoe u BRP- en sociaal-domeindata rechtmatig verwerkt.

Also available in:Français·Deutsch

Gemeenten verwerken meer gevoelige persoonsgegevens dan bijna elke private organisatie: van de Basisregistratie Personen (BRP) tot jeugdzorg-, Wmo- en schulddossiers. Daarom gelden voor de overheid enkele verzwaarde AVG-verplichtingen: een functionaris voor gegevensbescherming is verplicht, de grondslag is doorgaans de publieke taak of een wettelijke verplichting, en de datastromen in het sociaal domein staan onder scherp toezicht van de Autoriteit Persoonsgegevens. Dat de AP smart-city-projecten kritisch volgt, bleek uit de boete van €600.000 voor de gemeente Enschede (2021) wegens wifi-tracking. Deze gids zet de kernverplichtingen voor gemeenten en publieke organisaties op een rij.

Key Takeaways

  • Een gemeente moet verplicht een functionaris voor gegevensbescherming (FG) aanstellen — dat volgt uit artikel 37 AVG.
  • De grondslag voor overheidsverwerking is meestal de publieke taak of een wettelijke verplichting, zelden toestemming.
  • BRP-gegevens en het sociaal domein (jeugdzorg, Wmo, schuldhulp) vragen om strikte doelbinding en toegangsbeperking.
  • De AP volgt gemeentelijke smart-city- en trackingprojecten kritisch; de Enschede-boete van €600.000 (2021) is de waarschuwing.
  • Voor risicovolle verwerkingen (profilering, koppelingen, cameratoezicht) is een DPIA verplicht.

Grondslag: publieke taak en wettelijke verplichting

Een overheidsorgaan kan zich voor zijn taken vrijwel nooit op toestemming baseren, omdat de burger in een afhankelijke positie verkeert en de “vrije” toestemming daarmee twijfelachtig is. De grondslagen die passen bij de overheid zijn artikel 6 lid 1 sub e AVG (vervulling van een taak van algemeen belang of openbaar gezag) en sub c (wettelijke verplichting).

Belangrijk: die grondslagen vereisen een wettelijke basis in nationaal recht. Voor elke gemeentelijke verwerking moet er dus een taak of verplichting zijn die uit een wet volgt — de Participatiewet, de Jeugdwet, de Wmo, de Wet BRP, en zo verder. Ontbreekt die wettelijke basis, dan is de verwerking niet rechtmatig, hoe nuttig ze ook lijkt.

De verplichte functionaris gegevensbescherming

Voor overheidsinstanties is de aanstelling van een FG verplicht op grond van artikel 37 lid 1 sub a AVG. De FG houdt intern toezicht, adviseert over DPIA’s, is aanspreekpunt voor de AP en voor betrokkenen, en rapporteert onafhankelijk aan de hoogste leiding. De FG mag niet in een positie zitten waarin hij zijn eigen werk controleert.

Een gemeente moet de FG voldoende middelen, tijd en toegang geven en de contactgegevens publiceren en aan de AP doorgeven. In de praktijk is de FG bij gemeenten de spil die de vele datastromen overziet.

BRP en het sociaal domein

De Basisregistratie Personen is de bron van persoonsgegevens voor talloze processen. Toegang tot de BRP is aan strikte autorisaties gebonden: alleen medewerkers met een taak die de gegevens vereist, mogen raadplegen, en elke raadpleging is herleidbaar. Onnodig “grasduinen” in de BRP is een klassieke overtreding.

Het sociaal domein is het meest gevoelige terrein. In jeugdzorg, Wmo en schuldhulp verwerken gemeenten bijzondere en zeer persoonlijke gegevens, vaak in samenwerking met zorgpartijen in wijkteams. Hier speelt het beginsel van doelbinding uit artikel 5 AVG hard: gegevens die voor jeugdzorg zijn verzameld, mag u niet zomaar hergebruiken voor schuldhulp of handhaving. Elke gegevensdeling tussen domeinen vereist een eigen grondslag en, bij samenwerking, heldere afspraken over verantwoordelijkheid.

Cameratoezicht, tracking en smart city

Gemeenten experimenteren met sensoren, cameratoezicht en data-gedreven beleid. De AP kijkt hier kritisch mee. De gemeente Enschede kreeg in 2021 een boete van €600.000 omdat zij via wifi-sensoren telefoons van bezoekers in de binnenstad volgde zonder geldige grondslag en zonder noodzaak. De les: een technologisch mogelijk project is niet automatisch rechtmatig.

Voor risicovolle verwerkingen — grootschalige monitoring, koppeling van bestanden, profilering, cameratoezicht op openbare plaatsen — is een gegevensbeschermingseffectbeoordeling (DPIA) verplicht. Voer die uit vóór de start en betrek de FG. De toeslagenaffaire, waarvoor de Belastingdienst boetes kreeg (waaronder €2,75 miljoen in 2021 voor de onrechtmatige verwerking rond de kinderopvangtoeslag), maakt algoritmisch en data-gedreven overheidshandelen in Nederland politiek uiterst gevoelig.

Datalekken bij de overheid

Gemeenten zijn geregeld doelwit van cyberaanvallen en kampen met menselijke fouten (verkeerd geadresseerde post, onbevoegde inzage). De meldplicht van artikel 33 AVG geldt onverkort: een datalek met risico voor betrokkenen meldt u binnen 72 uur bij de AP, en bij hoog risico informeert u ook de betrokkenen. Beveiliging conform artikel 32 AVG — met strak toegangsbeheer, logging en versleuteling — is bij de gevoelige overheidsgegevens geen luxe.

Het overzicht houden over honderden verwerkingen, DPIA’s en verwerkersovereenkomsten is voor gemeenten een forse opgave; platforms zoals Legiscope helpen om dat register en de bijbehorende beoordelingen centraal en actueel te houden, zodat de FG en het bestuur grip houden.

Rechten van burgers en transparantie

Burgers hebben tegenover de gemeente volwaardige AVG-rechten: inzage, rectificatie, verwijdering en bezwaar. Bij overheidsverwerking op grond van de publieke taak gelden wel begrenzingen — het recht op verwijdering weegt niet op tegen een wettelijke taak, en het inzagerecht kent uitzonderingen waar dat nodig is voor bijvoorbeeld opsporing of de rechten van anderen. Behandel elk verzoek binnen een maand en motiveer een (gedeeltelijke) afwijzing. De informatieplicht uit artikel 13 van de AVG verlangt dat de gemeente transparant is over welke gegevens zij verwerkt en waarom.

De Autoriteit Persoonsgegevens is zowel toezichthouder op de gemeente als aanspreekpunt voor burgers die een klacht indienen. Een gemeente die haar verwerkingen, grondslagen en DPIA’s aantoonbaar op orde heeft, staat sterker wanneer de AP naar aanleiding van een klacht of een datalek vragen stelt.

Verwerkers en gezamenlijke verantwoordelijkheid

Gemeenten besteden veel uit: ICT-leveranciers, incassobureaus, leerlingenvervoer, re-integratiebedrijven. Waar een partij namens de gemeente gegevens verwerkt, sluit u een verwerkersovereenkomst. Waar meerdere overheden of partijen samen doel en middelen bepalen — bijvoorbeeld in een regionaal samenwerkingsverband of wijkteam — is er sprake van gezamenlijke verwerkingsverantwoordelijkheid, en legt u de onderlinge rolverdeling schriftelijk vast. Onduidelijke rolverdeling in ketensamenwerking is een terugkerend knelpunt bij het toezicht. Leg per samenwerkingsverband vast wie de betrokkene aanspreekt voor zijn rechten, wie het datalek meldt en wie de beveiliging bewaakt. Beperk daarnaast de toegang van medewerkers en ketenpartners tot precies die gegevens die zij voor hun taak nodig hebben; brede, ongerichte toegang tot gemeentelijke bestanden is een van de meest voorkomende bevindingen bij een controle. Log wie welke gegevens raadpleegt en controleer die logging steekproefsgewijs, zodat onbevoegd inzien wordt opgemerkt. Betrek de functionaris gegevensbescherming vroeg bij nieuwe projecten, want een privacyprobleem dat pas na de livegang wordt ontdekt, is vrijwel altijd duurder en ingrijpender om te herstellen dan een probleem dat in de ontwerpfase wordt afgevangen.

FAQ

Moet een gemeente een functionaris gegevensbescherming aanstellen?

Ja. Voor overheidsinstanties is de aanstelling van een FG verplicht op grond van artikel 37 lid 1 sub a AVG. De FG houdt onafhankelijk toezicht, adviseert over DPIA’s en is aanspreekpunt voor de AP en voor betrokkenen. De contactgegevens moeten worden gepubliceerd en aan de AP doorgegeven.

Op welke grondslag verwerkt een gemeente persoonsgegevens?

Meestal op de publieke taak (artikel 6 lid 1 sub e AVG) of een wettelijke verplichting (sub c). Beide vereisen een wettelijke basis in nationaal recht, zoals de Jeugdwet, de Wmo of de Wet BRP. Toestemming past zelden, omdat de burger in een afhankelijke positie staat.

Mogen gemeenten gegevens tussen het sociaal domein delen?

Niet zonder meer. Het beginsel van doelbinding verbiedt hergebruik van gegevens voor een onverenigbaar doel. Gegevens die voor jeugdzorg zijn verzameld, mag u niet automatisch voor schuldhulp of handhaving gebruiken. Elke deling vereist een eigen grondslag en duidelijke afspraken over verantwoordelijkheid.

Wanneer moet een gemeente een DPIA uitvoeren?

Bij verwerkingen met een hoog risico voor betrokkenen: grootschalige monitoring, koppeling van bestanden, profilering, cameratoezicht op openbare plaatsen en nieuwe technologie in het sociaal domein. Voer de DPIA uit vóór de start van de verwerking en betrek de FG.

Zie ook: AVG voor woningcorporaties.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →