De Algemene verordening gegevensbescherming (AVG) is het Europese kader voor de bescherming van persoonsgegevens. AVG is de Nederlandse benaming voor de Europese Verordening (EU 2016/679) die reeds in 2016 werd vastgesteld door het Europees Parlement en de Raad. De verordening is op 25 mei 2018 rechtstreeks van toepassing geworden in alle lidstaten en is voor alle landen in de EU direct geldend recht. In Nederland is de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) ingevoerd om de nationale uitvoering en enkele specifieke uitzonderingen vast te leggen. De AVG verving de Wet bescherming persoonsgegevens (Wbp) uit 2001 die gebaseerd was op de Europese Richtlijn 95/46/EG uit 1995. Nederland heeft dus al sinds 2001 wetgeving voor de bescherming van persoonsgegevens. De AVG had als doel om de privacywetgeving binnen de EU te harmoniseren, de rechten van betrokkenen te versterken en organisaties meer verantwoordelijkheid te geven voor een zorgvuldige omgang met persoonsgegevens.

De AVG geldt voor alle organisaties – zowel publiek als privaat – die persoonsgegevens verwerken van personen die zich in de EU bevinden, ongeacht waar de organisatie zelf gevestigd is. Daarmee heeft de verordening een breed territoriaal toepassingsgebied en een grote impact op zowel Europese als internationale ondernemingen.

De AVG is bijzonder relevant voor gemeenten, omdat zij dagelijks grote hoeveelheden persoonsgegevens van inwoners verwerken, bijvoorbeeld bij burgerzaken, belastingen, sociale diensten en handhaving. Gemeenten hebben daarmee een grote verantwoordelijkheid om zorgvuldig en transparant met deze gegevens om te gaan.

De Algemene Rekenkamer: de noodzaak van goede kennis

In 2023 heeft de Algemene Rekenkamer een brief gestuurd naar de Tweede Kamer waarin zij haar verontrusting uitsprak over de toepassing van de AVG. De Algemene Rekenkamer beoordeelt of overheidstaken effectief en doelmatig worden uitgevoerd. Zij wijst in de brief op situaties waarin de toepassing van de AVG de uitvoering van overheidstaken onnodig belemmert. De Rekenkamer noemt drie voorbeelden waarin een verkeerde omgang met de AVG tot problemen leidde. Het eerste voorbeeld betreft ouderen met recht op een aanvullende uitkering (AIO) die geen hulp kregen omdat gegevens tussen SVB en UWV niet gedeeld mochten worden. Hierdoor leefden tienduizenden huishoudens onder het bestaansminimum. Inmiddels loopt een pilot om gegevensuitwisseling alsnog mogelijk te maken. Het tweede voorbeeld komt uit de coronacrisis. Tijdens de coronacrisis konden instanties (GGD, RIVM, NVWA, GD) gegevens over besmettingen niet goed delen. Dit belemmerde de bestrijding van het virus. Het derde voorbeeld uit de brief is de aanpak van zorgfraude door o.a. NZa, IGJ, zorgverzekeraars, Belastingdienst en gemeenten. Die liep spaak door de gegevensdeling. Sommige organisaties interpreteerden de AVG te strikt, waardoor gegevens niet gedeeld konden worden en fraudeurs langer onopgemerkt bleven.

In haar brief stelt de Rekenkamer dat de AVG bedoeld is om de privacy van burgers te beschermen, niet om overheidstaken, dienstverlening of fraudebestrijding te belemmeren. Zij merkt op dat de wet voldoende ruimte biedt voor het verwerken en delen van persoonsgegevens, mits er een zorgvuldige afweging is tussen maatschappelijke baten en privacybelangen én er een wettelijke basis bestaat. Problemen ontstaan vooral wanneer deze afweging te laat of helemaal niet wordt gemaakt. Zij roept de Regering en het parlement op om bij nieuwe wetgeving tijdig vast te stellen welke gegevens nodig zijn voor een goede uitvoering. Naast meer aandacht in de regelgeving signaleert de Rekenkamer dat te weinig kennis tot verkeerde afwegingen leidt. Veel uitvoeringsorganisaties gebruiken de AVG te strikt of zelfs als excuus om geen gegevens te delen. In werkelijkheid kan verwerking vaak wél binnen de bestaande regels, mits zorgvuldig en met technieken als anonimisering of pseudonimisering.
Kennis over de AVG moet niet alleen bij privacyfunctionarissen liggen, maar breed aanwezig zijn binnen uitvoerende teams. Dat voorkomt misverstanden en overmatige voorzichtigheid. De discussie zou minder moeten draaien om de vraag ’mag dit?’ en meer om ’hoe kan dit verantwoord?’. Zo kan de overheid persoonsgegevens beter benutten zonder de privacy van burgers uit het oog te verliezen, aldus de Rekenkamer.

Waar het vaak misgaat: de toepassing van de AVG

Niet alleen de Algemene Rekenkamer constateert dat de toepassing van de AVG in de praktijk regelmatig problematisch is. Ook de gerenommeerde privacy-advocaat prof. mr. Lokke Moerel heeft hierover een duidelijke visie. Volgens haar is de AVG een technologieneutrale wet met open normen, juist bedoeld om toekomstbestendig te zijn. In de praktijk wordt deze openheid echter vaak verkeerd uitgelegd: men gaat er ten onrechte vanuit dat wat niet expliciet in de AVG is toegestaan, verboden is. In werkelijkheid is het omgekeerde waar: de AVG staat gegevensverwerking toe, mits dit gebeurt binnen de gestelde voorwaarden en met passende waarborgen. Moerel benadrukt dat zij vaak hoort dat ’iets niet mag van de AVG’, terwijl het met de juiste maatregelen juist wél mogelijk is. Bovendien wijst zij erop dat privacy geen absoluut recht is, maar altijd moet worden afgewogen tegen andere fundamentele belangen en rechten. Zo kan in bepaalde situaties, zoals bij het beschermen van de volksgezondheid, het algemeen belang zwaarder wegen, mits de verwerking privacy by design wordt ingericht.

Een boek voor iedereen

Dit boek is geschreven om een bijdrage te leveren aan het vergroten van de kennis over gegevensbescherming bij gemeenten. Uitgangspunt van het boek is dat gegevensverwerking mag, zolang dit gebeurt met de waarborgen die de AVG voorschrijft. De AVG biedt organisaties en dus ook gemeenten handvatten om persoonsgegevens op een verantwoorde manier te verwerken. Het is niet alleen bedoeld voor de privacyfunctionarissen, de Privacy Officer, Functionaris Gegevensbescherming of privacyambassadeur maar uitdrukkelijk ook bedoeld voor ‘de werkvloer’; voor alle medewerkers van de teams waar gegevens worden verwerkt. Immers zoals we in hoofdstuk 8 verder uit zullen werken zijn de medewerkers en teammanagers de frontlinie om in controle te zijn over de persoonsgegevens die de inwoners aan de gemeente toe vertrouwen. Het boek is daarom ingedeeld in domeinen zodat teammanagers en medewerkers eenvoudig het hoofdstuk kunnen raadplegen dat relevant is voor hun eigen werk.

Wij hanteren de meest voorkomende indeling in de domeinen sociaal (hoofdstuk 2) , fysiek (hoofdstuk 3) , veiligheid (hoofdstuk 4), publiek (hoofdstuk 5) en bedrijfsvoering (hoofdstuk 6). Deze organisatorische indeling kan in bepaalde gemeenten afwijken. De beschrijving per onderwerp in elk domein brengt dan uitkomst. Omdat gemeenten niet alleen acteren maar vaak onderdeel zijn van een keten of in regioverband samenwerken wordt daar in hoofdstuk 7 apart bij stilgestaan De basisbeginselen in het eerste hoofdstuk zijn voor iedereen relevant. Hierin worden onder andere beschreven de noodzaak voor gegevensbescherming, wat de begrippen ’verwerken’, ’persoonsgegevens’, ’bijzondere persoonsgegevens’ en ’grondslagen’ inhouden. Aan de hand van zeven AVG-beginselen leggen we uit hoe de gemeente kan voldoen aan de AVG.

Het achtste hoofdstuk Privacybeleid, werkprocessen en rollen is specifiek voor de privacy professional bedoeld. Dit gaat over het organiseren van de governance en werkprocessen op het gebied van gegevensbescherming. Zoals we al schreven: een goed privacy bewustzijn en basiskennis bij medewerkers is essentieel. In hoofdstuk 9 wordt dieper ingegaan op het onderwerp privacycultuur en bewustwording. Afsluitend komen in hoofdstuk 10 een aantal actuele ontwikkelingen aan bod die ook aan privacy raken: datagedreven werken, AI en algoritmes. Daarbij wordt ook stilgestaan bij de ethische kant van gegevensverwerking.

In dit boek gaat het veel over de regels en het naleven daarvan. Dat is ook een belangrijk deel van een goede omgang met persoonsgegevens. Maar het gaat om meer dan het naleven van regels: het gaat om ’doen wat juist is’. Ethisch omgaan met persoonsgegevens betekent verder kijken dan wat wettelijk mag. Stel bij elke verwerking de vraag: is dit echt noodzakelijk? Is het eerlijk tegenover de inwoner? En hoe zou ik het vinden als de gemeente dit met mijn gegevens deed?