AP signaleert nog altijd privacyrisico’s bij de overheid

De Autoriteit Persoonsgegevens (AP) heeft de trends en ontwikkelingen op privacygebied in kaart gebracht die spelen bij de overheid. De AP ziet dat de overheid wel stappen heeft gezet, maar nog altijd worstelt om te voldoen aan privacywetgeving.

Autoriteit Persoonsgegevens

9 oktober 2024

Digitale strategie

Privacy

Toezicht

Toezichthouders

Digitale economie

De AP constateert in het sectorbeeld Overheid dat:

De kennis van de privacywet- en regelgeving binnen overheidsorganisaties soms te wensen overlaat, in het bijzonder bij bestuurders.
De positie van de interne privacytoezichthouder, de functionaris gegevensbescherming (FG), in sommige gevallen onder druk staat.
Overheidsorganisaties soms bewust over de grenzen van de wet gaan. Bijvoorbeeld bij het signaleren van fraude (denk aan frauderisico-algoritmes). Maar ook het omgekeerde: dat bestuurders niet durven, omdat zij de privacywet- en regelgeving – onterecht – als belemmering zien.

Meer gegevens, grotere impact op burgers

Overheidsorganisaties verzamelen meer persoonsgegevens dan ooit en willen die gegevens ook meer dan ooit aan elkaar koppelen. Het risico dat burgers in de knel komen is groot als de overheid verkeerd omgaat met hun persoonsgegevens. Grote voorbeelden hiervan zijn de toeslagenaffaire en het datalek bij de GGD tijdens de coronapandemie, maar denk ook aan het gebruik van ondoordachte algoritmes door UWV en DUO.

Monique Verdier, vicevoorzitter AP: “Als burger ben je verplicht gegevens met de overheid te delen. Vaak ook heel gevoelige gegevens. Natuurlijk ga je er dan vanuit dat de overheid zorgvuldig met jouw gegevens omspringt, dat die niet in verkeerde handen kunnen komen. En dat de overheid je op basis van je persoonsgegevens niet oneerlijk behandelt of discrimineert.”

Privacybelangen niet uit het oog verliezen

Ook bij gemeenten ziet de AP steeds meer behoefte om gegevens te delen en aan elkaar te koppelen. Dit gebeurt vaak om iemand met een zorgvraag te helpen, schuldenproblematiek tegen te gaan of criminaliteit een halt toe te roepen. Dat zijn goede intenties, maar daarbij past ook dat je burgers en hun gegevens goed beschermt.

Monique Verdier: “Er is voor de overheid nog werk aan de winkel. Dat bleek de afgelopen jaren helaas ook wel uit de reeks ernstige misstanden met gegevensverwerking door de overheid. Die hebben de samenleving opgeschrikt en het vertrouwen van burgers in de overheid geschaad. Om het vertrouwen te herstellen, zal de overheid moeten laten zien dat zij de privacyrechten en de belangen van burgers serieus neemt en er alles aan doet die goed te beschermen.”

Gerelateerd nieuws

Nieuwe Dataverordening treedt in werking: grote gevolgen voor bedrijven en aanbieders van digitale diensten

12 september 2025

Sinds 12 september 2025 is de Europese Dataverordening (Data Act) van kracht. Deze nieuwe wetgeving moet het delen en gebruik van data stimuleren, de positie van gebruikers van verbonden apparaten en clouddiensten versterken en oneerlijke contractvoorwaarden tegengaan. Tijdens onze kennissessie lichtte Jan Baas, advocaat/partner bij La Gro, de belangrijkste veranderingen toe.

Data & Privacy

Persoonsgegevens of anonieme gegevens?

10 september 2025

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy

Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

1 september 2025

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

Data & Privacy

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

27 augustus 2025

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Meer nieuws