Privacy en ondermijning: verantwoord met gegevens omgaan
Laatst gewijzigd op: 10-10-2025Gemeenten spelen een belangrijke rol bij het aanpakken van ondermijnende criminaliteit. Maar hoe doe je dat op een manier die de privacy van burgers respecteert? Jay Remmelzwaal, senior legal counsel bij ICTRecht, geeft inzicht in hoe je als gemeente datagedreven kunt werken binnen de kaders van de privacywetgeving.
Privacy is geen absoluut recht
“Privacy betekent niet dat je niets mag”, benadrukt Jay. “Het gaat erom dat je kunt uitleggen waarom je bepaalde gegevens verwerkt. En dat je dat op een zorgvuldige manier doet.” Privacy is een grondrecht, maar geen absoluut recht. Overheden mogen soms inbreuk maken op de persoonlijke levenssfeer – bijvoorbeeld bij het bestrijden van criminaliteit – mits dat zorgvuldig en onderbouwd gebeurt.
De basis: de AVG
De Algemene verordening gegevensbescherming (AVG) vormt het uitgangspunt. De AVG kent een aantal beginselen, zoals rechtmatigheid, transparantie, dataminimalisatie en het goed beveiligen van gegevens. Gemeenten moeten vooraf bepalen waarom zij gegevens nodig hebben en mogen die niet langer bewaren dan noodzakelijk. “Het helpt enorm als je dit allemaal kunt uitleggen en documenteren”, zegt Jay.
DPIA: risico’s vooraf in kaart brengen
Een belangrijk hulpmiddel is de Data Protection Impact Assessment (DPIA), een privacy-analyse van gegevensverwerkingen. Die is verplicht als er sprake is van een hoog privacy-risico, zoals bij fraudebestrijding, cameratoezicht of het verwerken van gezondheidsgegevens.
Een DPIA beschrijft de verwerking, het doel, de noodzaak en de risico’s, en legt vast welke maatregelen je neemt om die risico’s te beperken. Jay: “Het is niet erg als er nog verbeterpunten uitkomen. Belangrijk is dat je het proces doorloopt en risico’s vooraf verkleint.”
Doel en grondslag
Bij de aanpak van ondermijning geldt: niet verwerken tenzij noodzakelijk. Gemeenten mogen persoonsgegevens verwerken als dat nodig is voor een taak van algemeen belang of de uitoefening van openbaar gezag. Voor ondermijning bestaat geen aparte wettelijke basis; gemeenten moeten daarom altijd kijken of bestaande wetgeving (zoals de Gemeentewet of de Huisvestingswet) voldoende grondslag biedt voor hun handelen.
Afwegingen maken: proportionaliteit en subsidiariteit
Is het echt nodig om bepaalde gegevens te verwerken? Kan het ook op een minder ingrijpende manier? Dit zijn de vragen die gemeenten volgens Jay steeds moeten stellen. Proportionaliteit betekent dat de inbreuk op de privacy in verhouding moet staan tot het doel. Subsidiariteit vraagt of het doel niet met een minder ingrijpend middel kan worden bereikt.
Privacy-checks en protocol
Omdat iedere casus anders is, is het handig om een raamwerk te hebben voor deze afwegingen. Het model privacy protocol van het ministerie van Justitie en Veiligheid kan daarbij helpen. Dit protocol voorziet in privacy-checks door een Privacy Officer, die per situatie beoordeelt of en welke gegevens gedeeld mogen worden.
Niet zwart-wit, wel doen
Jay benadrukt dat privacy geen rem hoeft te zijn op het aanpakken van criminaliteit. “Met de AVG kun je juist veel, als je het maar goed onderbouwt en vastlegt. Door vooraf risico’s te analyseren, doelen helder te formuleren en keuzes transparant te maken, kun je verantwoord en effectief werken aan een veiligere samenleving.”
Tips van Jay
- Begin bij het doel: Bepaal eerst waarom je gegevens wilt verwerken. Zonder doel geen grondslag.
- Voer een DPIA uit: Bij hoog risico altijd verplicht, maar ook handig als hulpmiddel om risico’s vooraf te zien.
- Maak een privacyprotocol: Zo’n raamwerk helpt bij afwegingen per casus.
- Weeg steeds af: Is de verwerking noodzakelijk? Kan het met minder gegevens?
- Documenteer keuzes: Kun je aan de Autoriteit Persoonsgegevens en burgers uitleggen waarom je iets doet?
Dit artikel is gebaseerd op de presentatie van Jay Remmelzwaal (ICTRecht) tijdens het webinar ‘Privacy en ethische kaders bij datagedreven werken’ op 29 september 2025.