Welke gegevens mag de gemeente opvragen?
Gemeenten hebben uitgebreide bevoegdheden om persoonsgegevens van burgers op te vragen en te verwerken, maar deze bevoegdheden zijn niet onbeperkt. De wetgever heeft duidelijke kaders gesteld voor wanneer, welke en hoe gemeenten gegevens mogen verzamelen. Dit gebeurt via verschillende wettelijke grondslagen, van de Wet basisregistratie personen tot specifieke sectorale wetgeving.
Voor compliance officers is het cruciaal om te begrijpen welke gegevens rechtmatig kunnen worden opgevraagd, vooral omdat overtredingen kunnen leiden tot boetes van de Autoriteit Persoonsgegevens. Daarnaast spelen systemen zoals Suwinet een belangrijke rol bij het veilig uitwisselen van gegevens tussen overheidsorganisaties.
Welke wettelijke basis heeft de gemeente om gegevens op te vragen?
Gemeenten mogen alleen persoonsgegevens opvragen op basis van een wettelijke grondslag zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) en aanvullende Nederlandse wetgeving. De belangrijkste grondslagen zijn de uitvoering van een wettelijke taak, de vervulling van een publiekrechtelijke taak en het gerechtvaardigd belang van de gemeente.
De meest gebruikte wettelijke basis voor gemeenten is artikel 6, lid 1, onder e, van de AVG: “de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.” Dit betekent dat gemeenten gegevens mogen opvragen wanneer dit noodzakelijk is voor hun publieke taken, zoals vastgelegd in de Gemeentewet en sectorale wetgeving.
Specifieke wettelijke kaders die gemeenten autoriseren om gegevens op te vragen, zijn onder andere:
- Wet basisregistratie personen (BRP) voor persoonsgegevens van inwoners
- Participatiewet voor bijstandsuitkeringen en re-integratietrajecten
- Wet maatschappelijke ondersteuning voor zorgverlening en ondersteuning
- Jeugdwet voor jeugdhulp en jeugdbescherming
- Wet waardering onroerende zaken voor belastingheffing
Wat voor soorten gegevens mag een gemeente verzamelen?
Gemeenten mogen reguliere persoonsgegevens, bijzondere persoonsgegevens en in specifieke gevallen politiegegevens verzamelen, afhankelijk van hun wettelijke taak en de proportionaliteit van de gegevensverwerking. Het type gegevens dat mag worden verzameld, hangt direct samen met het doel waarvoor de gegevens nodig zijn.
Reguliere persoonsgegevens die gemeenten standaard mogen verzamelen, omvatten naam, adres, woonplaats, geboortedatum, burgerservicenummer, nationaliteit en gezinssamenstelling. Deze gegevens worden hoofdzakelijk verwerkt via de BRP en vormen de basis voor vrijwel alle gemeentelijke dienstverlening.
Voor bijzondere persoonsgegevens gelden strengere regels. Gemeenten mogen deze alleen verwerken wanneer:
- er een expliciete wettelijke basis bestaat in Nederlandse of Europese wetgeving;
- de verwerking noodzakelijk is voor de uitvoering van een specifieke publieke taak;
- er adequate waarborgen zijn getroffen voor de bescherming van deze gevoelige gegevens.
Voorbeelden van bijzondere persoonsgegevens die gemeenten onder voorwaarden mogen verwerken, zijn gezondheidsgegevens (bij Wmo-voorzieningen), strafrechtelijke gegevens (bij vergunningverlening) en gegevens over schulden (bij schuldhulpverlening). Bij de verwerking van politiegegevens door buitengewoon opsporingsambtenaren (boa’s) gelden de strenge regels van de Wet politiegegevens (Wpg).
Hoe werkt de proportionaliteit bij het opvragen van gegevens?
Proportionaliteit bij gegevensverzameling betekent dat gemeenten alleen die persoonsgegevens mogen opvragen die strikt noodzakelijk zijn voor het specifieke doel, en niet meer dan dat. Het beginsel van dataminimalisatie uit de AVG vereist dat de gegevensverwerking beperkt blijft tot wat proportioneel en relevant is.
Bij het beoordelen van proportionaliteit moeten gemeenten drie kernvragen stellen. Ten eerste: zijn de opgevraagde gegevens echt noodzakelijk voor de uitvoering van de wettelijke taak? Ten tweede: is er geen minder ingrijpende manier om hetzelfde doel te bereiken? Ten derde: staat het belang van de gegevensverwerking in verhouding tot de inbreuk op de privacy van de betrokkene?
Een praktisch voorbeeld van proportionaliteit is het aanvragen van een bijstandsuitkering. De gemeente mag inkomens- en vermogensgegevens opvragen via Suwinet, maar mag niet automatisch alle beschikbare gegevens uit het systeem ophalen. Alleen gegevens die direct relevant zijn voor de beoordeling van de uitkeringsaanvraag, mogen worden opgevraagd.
Gemeenten moeten ook rekening houden met de bewaartermijn van gegevens. Gegevens die niet meer nodig zijn voor het oorspronkelijke doel, moeten worden verwijderd, tenzij er een wettelijke bewaarplicht geldt. Dit voorkomt dat gemeenten onnodig grote hoeveelheden persoonsgegevens blijven bewaren.
Wat zijn de rechten van burgers bij gegevensverzameling?
Burgers hebben uitgebreide rechten wanneer gemeenten hun persoonsgegevens verzamelen, waaronder het recht op informatie, inzage, rectificatie, beperking van de verwerking en in bepaalde gevallen het recht op bezwaar. Deze rechten zijn vastgelegd in de AVG en moeten door gemeenten worden gerespecteerd en gefaciliteerd.
Het recht op informatie houdt in dat burgers vooraf moeten worden geïnformeerd over welke gegevens worden verzameld, voor welk doel, op basis van welke wettelijke grondslag en hoe lang de gegevens worden bewaard. Gemeenten moeten deze informatie proactief verstrekken, bijvoorbeeld via privacystatements op hun website of in communicatie over specifieke procedures.
Belangrijke rechten die burgers kunnen uitoefenen, zijn:
- Recht op inzage: burgers mogen weten welke gegevens de gemeente over hen verwerkt
- Recht op rectificatie: onjuiste gegevens moeten worden gecorrigeerd
- Recht op beperking: onder omstandigheden kan de verwerking worden beperkt
- Recht op bezwaar: tegen verwerking op basis van gerechtvaardigd belang
Het recht op vergetelheid (wissing) is beperkt van toepassing bij gemeenten, omdat veel gegevensverwerking plaatsvindt op basis van wettelijke taken. Gemeenten kunnen pas gegevens wissen als er geen wettelijke bewaarplicht meer geldt en de gegevens niet meer nodig zijn voor de uitvoering van publieke taken.
Wanneer mag de gemeente gegevens delen met andere organisaties?
Gemeenten mogen persoonsgegevens alleen delen met andere organisaties wanneer er een wettelijke grondslag bestaat voor deze verstrekking, zoals een specifieke wettelijke verplichting, toestemming van de betrokkene of wanneer dit noodzakelijk is voor de uitvoering van een publieke taak. Elke gegevensdeling moet voldoen aan de beginselen van rechtmatigheid, doelbinding en proportionaliteit.
De meest voorkomende situaties waarin gemeenten gegevens mogen delen, zijn gebaseerd op specifieke wettelijke bepalingen. Zo zijn gemeenten verplicht bepaalde gegevens te verstrekken aan het Centraal Bureau voor de Statistiek, de Belastingdienst en andere overheidsorganisaties voor de uitvoering van hun wettelijke taken. Ook binnen de sociale zekerheid worden gegevens gedeeld via systemen zoals Suwinet.
Bij het delen van gegevens met private organisaties gelden strengere regels. Dit mag alleen wanneer:
- er een expliciete wettelijke basis bestaat voor de gegevensdeling;
- de betrokkene uitdrukkelijke toestemming heeft gegeven;
- er sprake is van een verwerkersovereenkomst waarbij de private partij gegevens verwerkt in opdracht van de gemeente;
- de gegevensdeling noodzakelijk is ter bescherming van vitale belangen van de betrokkene.
Speciale aandacht verdient het delen van politiegegevens door boa-organisaties. Volgens de Wpg moeten politiegegevens beschikbaar worden gesteld aan geautoriseerde politieambtenaren of boa’s in andere organisaties, voor zover dit nodig is voor de uitvoering van hun taak. Dit is zelfs een verplichting die de AVG niet kent, maar die wel strenge waarborgen vereist voor de bescherming van deze gevoelige gegevens.
Hoe BKBO helpt met compliance bij gegevensverzameling
Wij ondersteunen gemeenten bij het waarborgen van rechtmatige gegevensverzameling en -verwerking door middel van gespecialiseerde audits en assessments. Met onze expertise in overheidsprocessen en privacywetgeving helpen we compliance officers om complexe regelgeving zoals de AVG en Wpg correct toe te passen.
Onze dienstverlening omvat:
- Wpg-privacyaudits voor boa-organisaties die politiegegevens verwerken
- DigiD-beveiligingsassessments voor veilige digitale dienstverlening
- ENSIA-assessments voor informatieveiligheid bij gegevensuitwisseling
- Data Protection Impact Assessments (DPIA’s) voor nieuwe verwerkingen
- Compliance-audits voor naleving van privacywetgeving
Met onze “geen-gekibbelgarantie” en vaste prijzen, inclusief eventuele heraudits, bieden we transparantie en zekerheid. Ons team van gecertificeerde register-IT-auditors zorgt ervoor dat uw organisatie voldoet aan alle wettelijke vereisten voor gegevensverzameling en -verwerking. Neem contact op voor een vrijblijvend gesprek over hoe wij uw gemeente kunnen ondersteunen bij compliancevraagstukken.
Gemeenten hebben uitgebreide bevoegdheden om persoonsgegevens van burgers op te vragen en te verwerken, maar deze bevoegdheden zijn niet onbeperkt. De wetgever heeft duidelijke kaders gesteld voor wanneer, welke en hoe gemeenten gegevens mogen verzamelen. Dit gebeurt via verschillende wettelijke grondslagen, van de Wet basisregistratie personen tot specifieke sectorale wetgeving.
Voor compliance officers is het cruciaal om te begrijpen welke gegevens rechtmatig kunnen worden opgevraagd, vooral omdat overtredingen kunnen leiden tot boetes van de Autoriteit Persoonsgegevens. Daarnaast spelen systemen zoals Suwinet een belangrijke rol bij het veilig uitwisselen van gegevens tussen overheidsorganisaties.
Welke wettelijke basis heeft de gemeente om gegevens op te vragen?
Gemeenten mogen alleen persoonsgegevens opvragen op basis van een wettelijke grondslag zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) en aanvullende Nederlandse wetgeving. De belangrijkste grondslagen zijn de uitvoering van een wettelijke taak, de vervulling van een publiekrechtelijke taak en het gerechtvaardigd belang van de gemeente.
De meest gebruikte wettelijke basis voor gemeenten is artikel 6, lid 1, onder e, van de AVG: “de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.” Dit betekent dat gemeenten gegevens mogen opvragen wanneer dit noodzakelijk is voor hun publieke taken, zoals vastgelegd in de Gemeentewet en sectorale wetgeving.
Specifieke wettelijke kaders die gemeenten autoriseren om gegevens op te vragen, zijn onder andere:
- Wet basisregistratie personen (BRP) voor persoonsgegevens van inwoners
- Participatiewet voor bijstandsuitkeringen en re-integratietrajecten
- Wet maatschappelijke ondersteuning voor zorgverlening en ondersteuning
- Jeugdwet voor jeugdhulp en jeugdbescherming
- Wet waardering onroerende zaken voor belastingheffing
Wat voor soorten gegevens mag een gemeente verzamelen?
Gemeenten mogen reguliere persoonsgegevens, bijzondere persoonsgegevens en in specifieke gevallen politiegegevens verzamelen, afhankelijk van hun wettelijke taak en de proportionaliteit van de gegevensverwerking. Het type gegevens dat mag worden verzameld, hangt direct samen met het doel waarvoor de gegevens nodig zijn.
Reguliere persoonsgegevens die gemeenten standaard mogen verzamelen, omvatten naam, adres, woonplaats, geboortedatum, burgerservicenummer, nationaliteit en gezinssamenstelling. Deze gegevens worden hoofdzakelijk verwerkt via de BRP en vormen de basis voor vrijwel alle gemeentelijke dienstverlening.
Voor bijzondere persoonsgegevens gelden strengere regels. Gemeenten mogen deze alleen verwerken wanneer:
- er een expliciete wettelijke basis bestaat in Nederlandse of Europese wetgeving;
- de verwerking noodzakelijk is voor de uitvoering van een specifieke publieke taak;
- er adequate waarborgen zijn getroffen voor de bescherming van deze gevoelige gegevens.
Voorbeelden van bijzondere persoonsgegevens die gemeenten onder voorwaarden mogen verwerken, zijn gezondheidsgegevens (bij Wmo-voorzieningen), strafrechtelijke gegevens (bij vergunningverlening) en gegevens over schulden (bij schuldhulpverlening). Bij de verwerking van politiegegevens door buitengewoon opsporingsambtenaren (boa’s) gelden de strenge regels van de Wet politiegegevens (Wpg).
Hoe werkt de proportionaliteit bij het opvragen van gegevens?
Proportionaliteit bij gegevensverzameling betekent dat gemeenten alleen die persoonsgegevens mogen opvragen die strikt noodzakelijk zijn voor het specifieke doel, en niet meer dan dat. Het beginsel van dataminimalisatie uit de AVG vereist dat de gegevensverwerking beperkt blijft tot wat proportioneel en relevant is.
Bij het beoordelen van proportionaliteit moeten gemeenten drie kernvragen stellen. Ten eerste: zijn de opgevraagde gegevens echt noodzakelijk voor de uitvoering van de wettelijke taak? Ten tweede: is er geen minder ingrijpende manier om hetzelfde doel te bereiken? Ten derde: staat het belang van de gegevensverwerking in verhouding tot de inbreuk op de privacy van de betrokkene?
Een praktisch voorbeeld van proportionaliteit is het aanvragen van een bijstandsuitkering. De gemeente mag inkomens- en vermogensgegevens opvragen via Suwinet, maar mag niet automatisch alle beschikbare gegevens uit het systeem ophalen. Alleen gegevens die direct relevant zijn voor de beoordeling van de uitkeringsaanvraag, mogen worden opgevraagd.
Gemeenten moeten ook rekening houden met de bewaartermijn van gegevens. Gegevens die niet meer nodig zijn voor het oorspronkelijke doel, moeten worden verwijderd, tenzij er een wettelijke bewaarplicht geldt. Dit voorkomt dat gemeenten onnodig grote hoeveelheden persoonsgegevens blijven bewaren.
Wat zijn de rechten van burgers bij gegevensverzameling?
Burgers hebben uitgebreide rechten wanneer gemeenten hun persoonsgegevens verzamelen, waaronder het recht op informatie, inzage, rectificatie, beperking van de verwerking en in bepaalde gevallen het recht op bezwaar. Deze rechten zijn vastgelegd in de AVG en moeten door gemeenten worden gerespecteerd en gefaciliteerd.
Het recht op informatie houdt in dat burgers vooraf moeten worden geïnformeerd over welke gegevens worden verzameld, voor welk doel, op basis van welke wettelijke grondslag en hoe lang de gegevens worden bewaard. Gemeenten moeten deze informatie proactief verstrekken, bijvoorbeeld via privacystatements op hun website of in communicatie over specifieke procedures.
Belangrijke rechten die burgers kunnen uitoefenen, zijn:
- Recht op inzage: burgers mogen weten welke gegevens de gemeente over hen verwerkt
- Recht op rectificatie: onjuiste gegevens moeten worden gecorrigeerd
- Recht op beperking: onder omstandigheden kan de verwerking worden beperkt
- Recht op bezwaar: tegen verwerking op basis van gerechtvaardigd belang
Het recht op vergetelheid (wissing) is beperkt van toepassing bij gemeenten, omdat veel gegevensverwerking plaatsvindt op basis van wettelijke taken. Gemeenten kunnen pas gegevens wissen als er geen wettelijke bewaarplicht meer geldt en de gegevens niet meer nodig zijn voor de uitvoering van publieke taken.
Wanneer mag de gemeente gegevens delen met andere organisaties?
Gemeenten mogen persoonsgegevens alleen delen met andere organisaties wanneer er een wettelijke grondslag bestaat voor deze verstrekking, zoals een specifieke wettelijke verplichting, toestemming van de betrokkene of wanneer dit noodzakelijk is voor de uitvoering van een publieke taak. Elke gegevensdeling moet voldoen aan de beginselen van rechtmatigheid, doelbinding en proportionaliteit.
De meest voorkomende situaties waarin gemeenten gegevens mogen delen, zijn gebaseerd op specifieke wettelijke bepalingen. Zo zijn gemeenten verplicht bepaalde gegevens te verstrekken aan het Centraal Bureau voor de Statistiek, de Belastingdienst en andere overheidsorganisaties voor de uitvoering van hun wettelijke taken. Ook binnen de sociale zekerheid worden gegevens gedeeld via systemen zoals Suwinet.
Bij het delen van gegevens met private organisaties gelden strengere regels. Dit mag alleen wanneer:
- er een expliciete wettelijke basis bestaat voor de gegevensdeling;
- de betrokkene uitdrukkelijke toestemming heeft gegeven;
- er sprake is van een verwerkersovereenkomst waarbij de private partij gegevens verwerkt in opdracht van de gemeente;
- de gegevensdeling noodzakelijk is ter bescherming van vitale belangen van de betrokkene.
Speciale aandacht verdient het delen van politiegegevens door boa-organisaties. Volgens de Wpg moeten politiegegevens beschikbaar worden gesteld aan geautoriseerde politieambtenaren of boa’s in andere organisaties, voor zover dit nodig is voor de uitvoering van hun taak. Dit is zelfs een verplichting die de AVG niet kent, maar die wel strenge waarborgen vereist voor de bescherming van deze gevoelige gegevens.
Hoe BKBO helpt met compliance bij gegevensverzameling
Wij ondersteunen gemeenten bij het waarborgen van rechtmatige gegevensverzameling en -verwerking door middel van gespecialiseerde audits en assessments. Met onze expertise in overheidsprocessen en privacywetgeving helpen we compliance officers om complexe regelgeving zoals de AVG en Wpg correct toe te passen.
Onze dienstverlening omvat:
- Wpg-privacyaudits voor boa-organisaties die politiegegevens verwerken
- DigiD-beveiligingsassessments voor veilige digitale dienstverlening
- ENSIA-assessments voor informatieveiligheid bij gegevensuitwisseling
- Data Protection Impact Assessments (DPIA’s) voor nieuwe verwerkingen
- Compliance-audits voor naleving van privacywetgeving
Met onze “geen-gekibbelgarantie” en vaste prijzen, inclusief eventuele heraudits, bieden we transparantie en zekerheid. Ons team van gecertificeerde register-IT-auditors zorgt ervoor dat uw organisatie voldoet aan alle wettelijke vereisten voor gegevensverzameling en -verwerking. Neem contact op voor een vrijblijvend gesprek over hoe wij uw gemeente kunnen ondersteunen bij compliancevraagstukken.