Rechtmatig informatiepositie versterken

Laatst gewijzigd op: 15-12-2025

Denk bij het versterken van de informatiepositie van jouw gemeenten ook aan rechtmatigheid. Dat is bijvoorbeeld van belang bij de inzet van kunstmatige intelligentie, maar ook bij de uitwisseling van informatie met (veiligheids)partners of bij een informatiegestuurde manier van werken. De term ‘rechtmatigheid’ geeft aan dat een besluit of actie is genomen volgens de geldende wet- en regelgeving.

In een gemeentelijke organisatie is persoonsgegevens verzamelen, gebruiken opslaan en doorgeven alleen toegestaan wanneer wordt voldaan aan de in de Algemene verordening gegevensbescherming (AVG) omschreven regels. Ben je van plan (persoons)gegevens vanuit de gemeente te delen? Bekijk dan de AVG Verstrekkingswijzer.

Praktische hulpmiddelen

Voor de gemeentelijk praktijk zijn de volgende middelen en producten het meest relevant:

Om rechtmatig data gedreven en/of informatie gestuurd samen te (kunnen) werken in jouw gemeente is het van belang dat er een werkproces is opgesteld waarin wordt beschreven op welk manier informatiedeling plaatsvindt.

Multidisciplinaire samenwerking

De aanpak van complexe urgente veiligheidsproblematiek vraagt om een multidisciplinaire samenwerking waarbij veiligheidspartners samenwerken en gezamenlijk tot een doeltreffende aanpak komen. Voor een succesvolle uitvoering van de aanpak is een werkproces voor informatiedeling en samenwerking cruciaal. Het werkproces zorgt ervoor dat de veiligheidspartners precies weten welke informatie ze op welk moment met wie kunnen delen. Op basis van de gezamenlijk opgebouwde informatiepositie wordt een plan van aanpak opgesteld om de complexe urgente veiligheidsproblematiek gericht aan te pakken.

Procesbeschrijving

Het werkproces maakt inzichtelijk op welke wijze informatiedeling binnen jouw gemeente rechtmatig en (doelmatig) kan worden ingericht. Zodat op basis van een gezamenlijke informatiepositie kan worden gekomen tot een afgewogen interventiestrategie. Het werkproces beschrijft aan de hand van een procesbeschrijving hoe data gedreven/informatie gestuurd kan worden (samen) gewerkt ten behoeve van de aanpak van complexe urgente veiligheidsproblematiek.

In deze procesbeschrijving gaat het om het verwerken en registreren van signalen die mogelijk te relateren zijn aan verschijningsvormen van complexe urgente veiligheidsproblematiek. Bij iedere fase in het werkproces wordt een afweging gemaakt of en zo ja, welke informatie kan worden geraadpleegd, geregistreerd en verwerkt. Dit om gezamenlijk het voorgenomen doel te realiseren ten aanzien van een geprioriteerd veiligheidsvraagstuk.

De gemeente is verplicht om een data protection impact assessment (DPIA) uit te voeren, waarbij de privacy risico’s van gegevensverwerking in kaart worden gebracht.

De uitwisseling van persoonlijke data en vertrouwelijke informatie vraagt om adequate beveiliging. Betrokken interne en/of externe veiligheidspartners zullen immers alleen genegen zijn om informatie uit te wisselen als zij weten dat deze informatie in goede handen is. Verlies en diefstal van persoonlijke data en vertrouwelijke informatie kan ernstige gevolgen hebben voor het imago en de reputatie van jouw gemeente en de betrokken veiligheidspartners. Het is daarom van het grootste belang dat de informatiebeveiliging van de betrokken veiligheidspartners op orde is voordat informatie wordt uitgewisseld.

Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kan een verplichting voortkomen om een data protection impact assessment (DPIA) uit te voeren. Of die gegevensuitwerking nu via een applicatie gaat of via een Excel Bestand (wat in de basis ook een systeem is) maakt hierin niet uit.

Deze verplichting geldt doorgaans ook voor data gedreven werken bij de aanpak van complexe urgente veiligheidsproblematiek. Op grond van de AVG is een gemeente als verwekingsverantwoordelijke verplicht om een gegevensbeschermingseffectbeoordeling te maken van verwerkingen die waarschijnlijk een hoog risico inhouden voor de privacy van betrokken personen. Door de DPIA uit te voeren en uit te werken, toont jouw gemeente aan welke inspanningen zij (heeft) verricht om de privacy van een subject te waarborgen. In de DPIA worden voorafgaand de privacy risico’s van gegevensverwerking in kaart gebracht. Op basis waarvan vervolgens maatregelen worden genomen om de kans op en/of de impact van risico’s te minimaliseren.

Bekijk een voorbeeld van een DPIA voor een gemeente (VNG)

In het convenant gegevensuitwisseling is vastgelegd aan welke voorwaarden moet worden voldaan bij gegevensdeling. Met het convenant committeren de betrokken partijen zich aan de gemaakte afspraken ten aanzien van gegevensdeling en verwerking.

Het delen van informatie tussen partners versterkt hun gezamenlijke informatiepositie. In de praktijk wordt dit echter vaak bemoeilijkt door privacywet- en regelgeving. Door duidelijke afspraken te maken over het uitwisselen, verwerken en afhandelen van informatie – met aandacht voor proportionaliteit, subsidiariteit en doelmatigheid – ontstaat er houvast. Zo worden heldere kaders gecreëerd die het juridisch mogelijk maken om vertrouwelijke informatie te delen. De gemaakte afspraken kunnen met alle betrokken veiligheidspartners worden vastgelegd in een convenant. Daarbij geldt: ga uit van wat er wel mag in plaats van wat er niet mag.

In het convenant gegevensuitwisseling is vastgelegd aan welke voorwaarden moet worden voldaan bij de uitwisseling van gegevens bij de aanpak van complexe urgente veiligheidsproblematiek. Het convenant gegevensuitwisseling biedt een kader voor de afspraken die betrokken veiligheidspartners gezamenlijk met elkaar overeenkomen. In het bijzonder ten aanzien van gegevensverwerking bij de aanpak van ondermijnende criminaliteit. Het convenant wordt afgesloten tussen de betrokken partijen die streven naar samenwerking bij de aanpak van ondermijnende criminaliteit. In het kader van deze samenwerking vindt gegevensdeling en verwerking plaats. Met het convenant committeren de betrokken partijen zich aan de gemaakte afspraken ten aanzien van gegevensdeling en verwerking.

Het convenant beschrijft de volgende onderdelen van informatie gestuurd werken voor de aanpak van complexe urgente veiligheidsproblematiek:

Aanleiding
Doel
Deelnemende partners
Uitgangspunten
Structuur
Werkwijze
Randvoorwaarden
Beheer en toegang
Bewaring en verwijdering
Inwerkingtreding
Looptijd.

Op de website van de Autoriteit Persoonsgegevens staat een modelconvenant.

Er moet ook een privacy protocol zijn. Want de aanpak van complexe veiligheidsproblematiek dient volgens wet- en regelgeving op het terrein van privacy plaats te vinden. Het privacy protocol biedt een kader hoe rechtmatig en doelmatig informatie kan worden uitgewisseld ten behoeve van de aanpak van maatschappelijke veiligheidsvraagstukken. In het privacy protocol staat hoe betrokkenen rechtmatig en doelmatig informatie kunnen uitwisselen ten behoeve van de aanpak van complexe meervoudige veiligheidsproblematiek.

Het zwaartepunt ligt hierbij op de verwerking van persoonsgegevens naar aanleiding van signalen die betrekking hebben op complexe urgente veiligheidsproblematiek.

In het privacy protocol wordt ingegaan op:

Het doel van gegevensverwerking
De verwerkingsverantwoordelijke
De grondslag voor verwerking
De categorieën van subjecten en objecten
De ontvangers
Het werkproces
De verwerkte gegevens
De omgang met gegevens
Het beheer
De beveiliging, archivering, bewaartermijnen
De rechten van het subject.

Zie bijvoorbeeld het model protocol ondermijning. Daarin is vastgelegd hoe binnen de gemeente kan worden omgegaan met procesmatige en rechtmatigheidswaarborgen met betrekking tot de aanpak van ondermijning. Meer informatie over dit modelprotocol is te vinden in het CCV webdossier ‘Modelprotocol Ondermijning’.