Ga naar de inhoud

Datagedreven werken binnen de privacy regels 

Laatst gewijzigd op: 10-10-2025

In gesprek met Inge Brattinga over privacy, mensenrechten en datagedreven werken

afbeelding ter illustratie bij het onderwerp privacy gegevens en data.

Steeds meer gemeenten werken datagedreven. Ze gebruiken gegevens om bijvoorbeeld ondermijnende criminaliteit op te sporen of te voorkomen. Maar hoe doe je dat zorgvuldig en binnen de wet? Volgens Inge Brattinga, docent-onderzoeker Recht en Digitale Technologie bij Avans Hogeschool, begint het allemaal met kennis. “Gegevensverwerking moet een vaardigheid worden. En dat kan alleen als er genoeg kennis is”, zegt ze.

Niet alles hoeft met persoonsgegevens

Inge ziet dat veel gemeenten huiverig zijn voor datagedreven werken. “Die koudwatervrees is logisch. Gemeenten liggen onder een vergrootglas en iedereen wil dat zorgvuldig met persoonsgegevens wordt omgegaan. Maar datagedreven werken is breder dan alleen persoonsgegevens”, legt ze uit.

Haar eerste tip: kijk altijd eerst of je kunt werken met geanonimiseerde data. “Soms heb je helemaal geen persoonsgegevens nodig om je analyses te maken. Denk aan postcodes of aantallen per wijk in plaats van namen en adressen. Anonimiseren bij de bron geeft veel meer mogelijkheden.”

De spelregels van de AVG

Als er toch persoonsgegevens nodig zijn, gelden strikte regels. De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat persoonsgegevens rechtmatig, transparant en doelgericht moeten worden verwerkt. Je mag niet meer verzamelen dan strikt nodig is en moet data goed beveiligen en tijdig vernietigen.

Daarbij maakt de AVG onderscheid tussen gegevens die een gemeente verwerkt als ‘openbaar gezag’ en gegevens voor een ‘taak van algemeen belang’. “Bij openbaar gezag is de machtsverhouding tussen overheid en burger ongelijk. Dan moet je extra terughoudend zijn met het delen of hergebruiken van gegevens”, aldus Inge.

Samenwerken mag, maar onder voorwaarden

Voor het delen van gegevens tussen partijen bestaat sinds kort de Wet gegevensverwerking door samenwerkingsverbanden (WGS). Deze wet biedt een wettelijke basis om persoonsgegevens te delen bij een zwaarwegend algemeen belang, bijvoorbeeld in de strijd tegen georganiseerde criminaliteit. Maar ook hier gelden veel voorwaarden. “Je moet precies formuleren voor welk doel je gegevens gebruikt en met wie je ze deelt”, zegt Inge. En de WGS stelt daarnaast nog een aantal waarborgen.

Privacy vanaf het begin

Inge benadrukt het belang van privacy by design. Dat betekent dat je al bij het ontwerpen van een systeem of project rekening houdt met privacy. Je verzamelt niet automatisch álle gegevens, maar denkt steeds na: wat is het minste dat ik nodig heb? En wie mag erbij? Ook de standaardinstellingen moeten privacy-vriendelijk zijn. Dat heet privacy by default: de basis staat zo ingesteld dat er zo min mogelijk gegevens worden verwerkt, tenzij je er bewust voor kiest meer te verzamelen.

Mensenrechten en ethiek

Privacy gaat verder dan de AVG. Ook mensenrechten zoals gelijke behandeling en non-discriminatie spelen een rol. Inge wijst op het beruchte SyRI-systeem, een overheidsproject om fraude op te sporen dat door de rechter werd verboden vanwege een te grote inbreuk op het privéleven. “Datagedreven werken kan onbedoeld leiden tot een self-fulfilling prophecy. Als je in een regio extra controleert, vind je daar ook meer overtredingen. Dan is het niet altijd meer verantwoord. Blijf nadenken over de gevolgen van je keuzes.”

Kunstmatige intelligentie: mooi maar spannend

Artificial intelligence (AI) kan veel waardevols bieden bij datagedreven werken. Maar er kleven ook risico’s aan. De nieuwe Europese AI-verordening deelt systemen in risicocategorieën. Predictive policing – het voorspellen van waar of wanneer misdrijven waarschijnlijk plaatsvinden op basis van data – kan bijvoorbeeld onder ‘hoog risico’ vallen.

“Zorg dat je organisatie AI-geletterd wordt”, adviseert Inge. “Dat betekent dat medewerkers begrijpen wat AI is, hoe het werkt en welke kansen en risico’s eraan zitten. Ga het gesprek aan over waar je AI verantwoord kunt inzetten. En stop nooit zomaar persoonsgegevens of bedrijfsgevoelige informatie in generatieve AI-tools zoals ChatGPT.”

Praktische stappen voor gemeenten

Tot slot geeft Inge een eenvoudig stappenplan:

  • Bepaal welke data je echt nodig hebt.
  • Check of de data in voldoende kwaliteit beschikbaar zijn.
  • Houd een verwerkingsregister bij.
  • Moet je persoonsgegevens verwerken? Doe een Data Protection Impact Assessment (DPIA) – een onderzoek naar de privacyrisico’s van je project. Zo’n DPIA beschrijft welke gegevens je verwerkt, waarom, welke risico’s dat geeft en welke maatregelen je neemt.
  • Werk je met AI? Voer ook een AI Impact Assessment (AIIA) uit. Daarmee beoordeel je de risico’s voor mensenrechten en ethiek bij de inzet van kunstmatige intelligentie.

“Als je deze stappen volgt, is die koudwatervrees helemaal niet nodig,” zegt Inge. “Met kennis en goede afspraken kun je datagedreven werken op een verantwoorde manier inzetten.”

Dit artikel is gebaseerd op de presentatie van Inge Brattinga in het webinar Privacy en ethische kaders bij datagedreven werken op 29 september 2025.