Privacy: voor juristen misschien een prachtig principe, voor beleidsmakers een belangrijk recht en voor inwoners een vanzelfsprekendheid. Maar voor veel collega’s binnen gemeenten? Laten we eerlijk zijn: vooral gedoe. Weer een DPIA, nog een formulier, een vinkje hier, een verwerkersovereenkomst daar. In deze blog kijken we waarom privacy in de praktijk vaak als een last voelt. Maar belangrijker nog: wat je kunt doen om het wél werkbaar te maken. Want ja, het is extra werk. Maar het hoeft geen blok aan je been te zijn.

Download hier een pdf van deze blog

Waarom voelt privacy als een last?

Gemeenten werken steeds meer datagedreven, digitaal en samen met andere organisaties. Tegelijkertijd moet alles sneller, efficiënter en foutloos. Privacy komt vaak als ‘extra’ taak bovenop het normale werk. Een paar herkenbare frustraties uit de praktijk:

1. Die Data Protection Impact Analyse (DPIA) die al maanden ligt te verstoffen, omdat niemand tijd heeft om ’m af te maken.
2. De verwerkersovereenkomst die eindeloos heen en weer gaat tussen afdelingen en soms maar moeilijk te begrijpen is.
3. De discussie of bepaalde gegevens nou wél of niet onder bijzondere persoonsgegevens vallen.
4. De vraag om dataminimalisatie, terwijl het project juist om méér data vraagt.
5. Het datalek dat ontstaat door werkdruk of onduidelijk processen.

Veel collega’s zien privacy niet als iets dat hun werk ondersteunt, maar als iets dat het ingewikkelder maakt. En dat is begrijpelijk. Want:

• De wet past niet altijd bij gemeentelijke realiteit: De Algemene Verordening Gegevensbescherming (AVG) is bedoeld voor álle organisaties, van grote techbedrijven tot vrijwilligersverenigingen. Maar gemeenten werken met publieke taken, complexe ketens, verouderde systemen en wettelijke verplichtingen. Een ‘one-size-fits-all’-benadering schuurt daar vaak mee. De wet biedt ruimte voor afweging, maar het vraagt om vertaling naar de praktijk van gemeentelijk werk.
  
• Er is weinig ruimte voor gezonde afwegingen: In plaats van het voeren van een goed gesprek over risico’s en keuzes, wordt privacy al snel een afvinkproces: mag het of mag het niet? En als niemand zich verantwoordelijk voelt om een zorgvuldige afweging te maken, zegt men voor de zekerheid liever ‘nee’ dan ‘ja’. Met als gevolg: stagnatie of frustratie.
  
• Privacy ligt in de lijn, maar wordt er niet door gedragen: Formeel ligt de verantwoordelijkheid voor privacy bij proceseigenaren of projectleiders. Maar in de praktijk komt het vaak neer op de Functionaris Gegevensbescherming (FG), de Privacy Officer (PO), of die ene collega die ‘er verstand van heeft’. Dat leidt tot verkeerde verwachtingen, onduidelijke verantwoordelijkheden en te weinig draagvlak.

Hoe maak je privacy dan wél werkbaar?

Gelukkig is het niet alleen maar kommer en kwel. Er zijn manieren om privacy wél werkbaar te maken. Niet door overal nog meer beleid voor op te stellen, maar juist door het slimmer aan te pakken. Hieronder vind je vijf concrete acties die daarbij helpen:

1. Maak duidelijke en haalbare afspraken
   Veel frustratie rondom privacy ontstaat simpelweg door onduidelijkheid. Moet ik hier echt een DPIA voor doen? Wat mag ik wel of niet vragen aan inwoners? Wanneer is iets eigenlijk ‘gevoelig’? Collega’s help je door duidelijke en toepasbare richtlijnen te bieden, bijvoorbeeld door DPIA’s alleen verplicht te stellen bij grotere of risicovolle projecten. Ook standaardteksten voor verwerkersovereenkomsten en praktische hulpmiddelen zoals formats of beslisbomen maken het makkelijker om zelfstandig stappen te zetten. Zo hoeft niet iedereen telkens opnieuw het wiel uit te vinden, en wordt privacy meteen een stuk werkbaarder.
   
2. Wees een sparringpartner, geen controleur
   De PO zou niet alleen het eindstation moeten zijn waar plannen worden getoetst, maar juist vanaf het begin als sparringpartner betrokken moeten worden. Juist in die vroege fase kun je het verschil maken door laagdrempelig bereikbaar te zijn, actief mee te denken in oplossingen en helder te maken wat echt belangrijk is, en waar je best wat pragmatischer mee om kunt gaan. De FG heeft hierin weer een andere rol. Als onafhankelijke toezichthouder bewaakt de FG de naleving van de privacywetgeving en moet daarbij afstand houden. Wel kan de FG vroegtijdig worden betrokken voor advies, zodat knelpunten in een vroeg stadium worden gesignaleerd en voorkomen. Zo voelen collega’s zich gesteund in plaats van afgerekend, en wordt privacy minder een struikelblok en meer een gezamenlijk gedragen verantwoordelijkheid.
   
3. Benoem dat perfectie niet bestaat
   Geen enkele gemeente heeft alles 100% op orde, en dat hoeft ook niet. De AVG vraagt geen perfectie, maar aantoonbare zorgvuldigheid. Dat betekent: laat zien dat je risico’s bewust afweegt, leer van fouten of signalen die je tegenkomt, en zorg voor beleid dat uitvoerbaar is, ook als het niet tot in de puntjes perfect is. Door ruimte te geven om te leren en te verbeteren, haal je de spanning van het onderwerp af en wordt privacy juist makkelijker bespreekbaar.
   
4. Zorg dat bestuur en management keuzes maken
   Privacy raakt tegenwoordig vrijwel elk project binnen de gemeente. Maar je kunt niet overal tegelijk de hoogste prioriteit aan geven. Daarom is het belangrijk dat er op bestuurlijk niveau duidelijke keuzes worden gemaakt: hoe hoog leggen we de lat, welke processen krijgen voorrang en hoe verdelen we de beschikbare capaciteit? Zonder dit soort richtinggevende besluiten blijft iedereen zwemmen, of wijzen naar elkaar, zonder echt vooruit te komen.
   
5. Laat zien wat privacy óók oplevert
   Privacy voelt vaak als iets wat vooral in de weg zit, maar het kan juist ook gedoe voorkomen. Een duidelijk loggingbeleid voorkomt bijvoorbeeld wantrouwen achteraf, goed nadenken over het uitwisselen van data voorkomt last-minute paniek bij implementatie, en heldere afspraken met leveranciers besparen tijd bij audits of incidenten. Door deze voordelen zichtbaar te maken, wordt privacy niet alleen een verplichting, maar ook iets waar collega’s écht iets aan hebben.
   

Tot slot: privacy hoeft niet leuk te zijn, maar wel te doen

Privacy zal nooit een feestje worden. Het blijft een voortdurende balans tussen bescherming, dienstverlening, efficiëntie en bestuurlijke keuzes. Is dat erg? Nee, zolang we maar duidelijke keuzes durven maken, ruimte bieden voor afwegingen, fouten mogen maken, daarvan leren, én blijven samenwerken in plaats van afschuiven.

Privacy moet geen extra sausje zijn dat er achteraf overheen wordt gegoten. Het hoort thuis in het proces of project, vanaf het begin. Bijvoorbeeld door privacy-afwegingen, zoals de noodzaak voor een DPIA, standaard op te nemen in projectaanpakken, zodat het niet later als een verrassing komt. En ja, dat betekent soms extra werk. Maar met de juiste inrichting wordt privacy een beheersbaar en vanzelfsprekend onderdeel van het dagelijks werk. En alleen dat is al winst.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.