Gemeenten werken steeds vaker samen. Bijvoorbeeld in omgevingsdiensten, veiligheidsregio’s, jeugdhulpregio’s of met gezamenlijke ICT‑voorzieningen. Die samenwerking is logisch: samen kun je meer bereiken, specialistische kennis bundelen en inwoners beter en sneller helpen. Maar die samenwerking betekent ook dat er steeds meer gegevens gedeeld worden. En dan is de vraag: hoe zorg je ervoor dat dit rechtmatig, veilig en transparant gebeurt, zonder dat je verstrikt raakt in verantwoordelijkheden of risico’s? Je leest het in deze blog.

Download hier een pdf van deze blog

Waarom gegevensdeling zo belangrijk is

In de praktijk kan geen enkel samenwerkingsverband zonder gegevens. Neem bijvoorbeeld een omgevingsdienst, die moet weten welke vergunningen en klachten er zijn bij de gemeente, anders kan zij haar toezichthoudende taak niet goed uitvoeren. In het sociale domein geldt hetzelfde: zonder gegevensuitwisseling kun je geen goede zorg en ondersteuning voor inwoners regelen. Maar let op: persoonsgegevens delen is geen vrijblijvende administratieve handeling. Het moet altijd binnen de regels van de Algemene Verordening Gegevensbescherming (AVG) passen, én goed geregeld zijn met duidelijke afspraken en een heldere governance.

Het spanningsveld

Samenwerkingsverbanden werken samen aan beleid en uitvoering, maar iedere partij blijft wel zelf verantwoordelijk voor de naleving van de AVG. Dat levert vaak lastige vragen op, zoals: Wie is verantwoordelijk als er iets misgaat? Wie bepaalt het doel van de verwerking? En hoe houd je grip op privacy en security in complexe, gedeelde systemen? Precies dat spanningsveld laat zien waarom een heldere governance rond gegevensdeling zo belangrijk is.

Juridische basis en documenten

Volgens de AVG mag je persoonsgegevens alleen verwerken als daar een geldige grondslag voor is. Voor gemeenten en samenwerkingen zijn vooral de volgende grondslagen relevant:

• Wettelijke verplichting: soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens moet verwerken.
• Algemeen belang: deze grondslag geldt voor het uitoefenen van een publieke taak voor het algemeen belang of openbaar gezag. Het gaat hierbij om wettelijke taken. De verwerking van persoonsgegevens moet noodzakelijk zijn om de publieke taak goed te kunnen vervullen.
• Toestemming (in uitzonderlijke gevallen): zoals het woord als zegt gaat het hier om toestemming van de betrokkene voor het verwerken van zijn/haar gegevens. Deze toestemming moet uitdrukkelijk gegeven zijn. Hierbij geldt ook dat het voor mensen net zo makkelijk moet zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

Daarnaast geven sectorale wetten zoals de Wet maatschappelijke ondersteuning (Wmo) 2015, de Jeugdwet en de Wet milieubeheer hier vaak extra invulling aan. Maar let op: alleen een grondslag hebben is niet genoeg. Je moet als samenwerkingsverband ook zorgen voor goede waarborgen. Dat doe je door duidelijke afspraken vast te leggen, bijvoorbeeld in: convenanten (beleidsafspraken), samenwerkingsovereenkomsten (juridisch bindend), en verwerkersovereenkomsten (wanneer één partij gegevens verwerkt namens een ander). Ontbreken zulke afspraken, of zijn ze onduidelijk? Dan loop je al snel juridische risico’s.

Rollen en verantwoordelijkheden

Een van de belangrijkste vragen bij gegevensdeling is altijd: wie is de verwerkingsverantwoordelijke? De AVG kent drie hoofdrollen:

1. De verwerkingsverantwoordelijke: bepaalt het doel en de middelen.
2. De verwerker: voert uit in opdracht van de verantwoordelijke
3. Gezamenlijke verantwoordelijken: bepalen samen het doel en de middelen.

Wat vaak misgaat, is dat de rol op papier wordt ingevuld, maar in de praktijk niet klopt. Want uiteindelijk telt wie er écht de zeggenschap heeft over het proces. Een voorbeeld: bij een omgevingsdienst zijn de gemeenten en de dienst vaak gezamenlijke verantwoordelijken, omdat ze samen het beleid en de doelen vaststellen. In een regionale ICT-samenwerking is de ICT-partij meestal gewoon verwerker. Het is dus belangrijk dat de governance dit heel duidelijk vastlegt. En daarbij hoort ook een duidelijke rol voor het college van Burgemeester & Wethouders (B&W) (formeel verantwoordelijk) en de gemeenteraad (kaderstellend en controlerend).

Risico’s en valkuilen

In de praktijk lopen samenwerkingen vaak tegen dezelfde problemen aan:

• Inwoners weten niet goed welke partijen hun gegevens verwerken (door gebrek aan transparantie).
• Afspraken over informatiebeveiliging en datalekken zijn te summier of ontbreken.
• Verantwoordelijkheden zijn versnipperd, waardoor niemand zich echt eigenaar voelt,
• Autorisatie en toegangsbeheer zijn niet goed geregeld.
• Er is onduidelijkheid wie een datalek moet melden bij de Autoriteit Persoonsgegevens (AP) of bij de inwoner zelf.

Deze risico’s laten zien dat het niet genoeg is om alleen ‘ja’ te zeggen tegen samenwerking; je moet het ook goed inrichten. Doe je dat niet, dan loop je vroeg of laat tegen problemen aan.

Governance als borging

Een goede governance-structuur helpt je grip te houden op de samenwerking. Zo wordt governance niet iets abstracts, maar juist concreet en werkbaar. Je kunt dat op verschillende manieren regelen, bijvoorbeeld met:

• Samenwerkingsovereenkomsten waarin je rollen, informatiebeveiliging en incidentmanagement vastlegt.
• Stuurgroepen of besturen die toezicht houden of afspraken ook echt worden nageleefd.
• Periodieke audits of evaluaties zodat je afspraken kunt bijstellen als risico’s veranderen of de situatie wijzigt,
• Een gezamenlijke privacycommissie waarin de Functionaris Gegevensbescherming (FG), juristen en Information Security Officers structureel met elkaar afstemmen.
• Afspraken tussen FG’s onderling, zodat er geen gaten ontstaan in toezicht.

Praktische hulpmiddelen en best practices

De AVG vraagt dat je kunt laten zien dat je voldoet aan de regels. Gemeenten hoeven dat niet allemaal zelf uit te vinden; er zijn handige hulpmiddelen voor. Denk aan:

1. Standaardmodellen voor verwerkersovereenkomsten en autorisatiebeheer.
2. Data Protection Impact Assessment (DPIA’s) bij nieuwe samenwerkingen.
3. Gezamenlijke beleidskaders voor logging en monitoring.
4. Duidelijke werkafspraken over wie een datalek meldt en op welke manier.
5. Trainingen en bewustwording voor medewerkers.

Daarnaast zijn er al heel wat best practices waar gemeenten inspiratie uit kunnen halen. Bijvoorbeeld:

• Omgevingsdiensten die samen verantwoordelijkheid dragen en duidelijke afspraken hebben.
• Shared Service Centers (SSC’s) met stevige verwerkersovereenkomsten en centrale beveiliging.
• En werkbedrijven in het sociaal domein die convenanten gebruiken om taken duidelijk te scheiden.

Uit onderzoeken van de AP en verschillende rekenkamers blijkt trouwens vaak hetzelfde: het probleem zit meestal niet in het verwerken zelf, maar in het ontbreken van governance en aantoonbare afspraken.

Stappenplan voor gemeenten

Wil je als gemeente (verder) aan de slag met gegevensdeling? Pak het dan stap voor stap aan:

1. Begin met een juridische analyse van de rollen en grondslagen.
2. Leg afspraken vast in governance-documenten en bekijk die regelmatig opnieuw.
3. Bouw controles in, zoals een privacy-jaarplan, audits en logging.
4. Zorg voor een open dialoog met bestuur, uitvoering en inwoners.
5. Ontwikkel een volwassenheidsmodel voor gegevensdeling, bijvoorbeeld met de Baseline Informatiebeveiliging Overheid (BIO), ENSIA of Norea-standaarden als kapstok.

Conclusie

Samenwerken in het publieke domein gaat altijd over de balans tussen effectief werken en je houden aan de wet. Met goede governance rond gegevensdeling kunnen gemeenten zowel voldoen aan de AVG als het vertrouwen van inwoners waarmaken. En dat is uiteindelijk waar het om gaat: samenwerken in vertrouwen.

Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.