De gemeente Schiermonnikoog heeft mogelijk jarenlang de privacywet (AVG) overtreden bij het verwerken van persoonsgegevens. Het gaat om digitale middelen voor toezicht, handhaving en dienstverlening op het eiland. De mogelijke fouten kwamen recent naar voren en worden nu juridisch en organisatorisch beoordeeld. De zaak raakt aan Europese regels, zoals de AVG en de Europese AI-verordening en de gevolgen voor overheidstoepassingen.
Jarenlange tekortkomingen bij privacy
De kern van het probleem is dat persoonsgegevens vermoedelijk zijn gebruikt zonder stevige juridische basis of met te ruime doelen. Ook lijken bewaartermijnen, transparantie en beveiliging niet altijd op orde te zijn geweest. Voor een kleine eilandgemeente gelden dezelfde strenge normen als voor elke andere overheid.
De gemeente bekijkt op dit moment hoe processen en systemen moeten worden aangepast. De Autoriteit Persoonsgegevens kan een onderzoek starten en vervolgens een waarschuwing, een aanwijzing of een boete opleggen. Op het moment van schrijven is nog geen formeel handhavingsbesluit bekend.
Elke Nederlandse gemeente moet een Functionaris Gegevensbescherming hebben die toezicht houdt op naleving van de AVG. Ook moet er een actueel verwerkingsregister zijn met alle processen waarin persoonsgegevens voorkomen. Als externe leveranciers meewerken, zijn duidelijke verwerkersovereenkomsten verplicht.
AVG-eisen niet nageleefd
De AVG vraagt om een geldige grondslag, zoals wettelijke plicht of taak van algemeen belang, en een helder doel. Dat heet doelbinding: gegevens mogen niet voor iets anders worden gebruikt dan waarvoor ze zijn verzameld. Burgers moeten bovendien begrijpelijk worden geïnformeerd over wat er met hun data gebeurt.
Dataminimalisatie betekent dat een organisatie niet meer gegevens verzamelt en bewaart dan strikt nodig is voor het gekozen doel.
Bij risicovolle verwerkingen is een Data Protection Impact Assessment (DPIA) nodig. Denk aan cameratoezicht, het systematisch volgen van verplaatsingen of geautomatiseerde handhaving. Zonder DPIA is zo’n verwerking in beginsel niet toegestaan.
Beveiliging moet “passend” zijn: versleuteling, strikte toegangsrechten en loggen van inzage horen daarbij. Gegevens mogen niet langer bewaard worden dan noodzakelijk. Wie diensten uitbesteedt aan softwareleveranciers, moet contractueel vastleggen wat er met data gebeurt en hoe die worden beschermd.
Cameratoezicht en kentekens gevoelig
Op eilanden met beperkt autoverkeer worden vaak digitale middelen gebruikt om toegang en verkeer te sturen. Automatische kentekenherkenning (ANPR) is zo’n systeem dat nummerborden scant en vergelijkt met een lijst. Dat is efficiënt, maar ook ingrijpend als de doelen vaag zijn of bewaartermijnen te lang.
Cameratoezicht in de openbare ruimte valt onder de Gemeentewet en kent strikte voorwaarden. Er moet een duidelijk veiligheidsdoel zijn, zichtbare borden en een maatvoering die niet verder gaat dan nodig. ANPR voor politiedoeleinden kent aparte regels; een gemeente kan die niet zomaar overnemen voor eigen handhaving.
Geautomatiseerde besluiten, zoals een boete op basis van een systeemmelding, zijn extra risicovol. De AVG geeft burgers recht op menselijke tussenkomst als zo’n besluit grote gevolgen heeft. Fouten in data of in matching-algoritmes kunnen anders tot onterechte handhaving leiden.
AI-verordening raakt gemeenten
De Europese AI-verordening (AI Act) introduceert risicoklassen voor systemen die beslissingen sturen. Toepassingen met biometrie of openbare-ordehandhaving vallen vaak in een hoge risicoklasse en krijgen extra eisen. Ook als geen “slimme” algoritmen worden gebruikt, wordt de samenhang met de AVG strenger getoetst.
Steeds meer Nederlandse overheden publiceren een algoritmeregister om te laten zien welke systemen ze inzetten. Dat helpt bij transparantie richting inwoners en bij interne controle. Voor inkoop en gebruik van nieuwe datamodellen en algoritmen wordt een fundamentele-rechtencheck de norm.
Voor Schiermonnikoog betekent dit dat elke digitale handhavings- of monitoringsoplossing de komende jaren aan extra regels moet voldoen. Documentatie, risicobeperking en uitleg aan burgers worden belangrijker. Wie nu al orde op zaken stelt, voorkomt latere aanpassingskosten en juridische risico’s.
Gevolgen en volgende stappen
Inwoners en bezoekers hebben recht op inzage in hun gegevens en op correctie of verwijdering als die onjuist of onnodig zijn. Zij kunnen bezwaar maken tegen bepaalde verwerkingen en een klacht indienen bij de gemeente of bij de Autoriteit Persoonsgegevens. Duidelijke communicatie verlaagt de kans op misverstanden en klachten.
Voor de gemeente ligt de focus op direct herstel: stop onrechtmatige verwerkingen, verkort bewaartermijnen en publiceer begrijpelijke privacyverklaringen. Voer DPIA’s uit op risicovolle processen, werk het verwerkingsregister bij en sluit of actualiseer verwerkersovereenkomsten. Training van medewerkers en periodieke audits helpen om fouten te voorkomen.
De gemeenteraad heeft een rol in het controleren van beleid en middelen. Transparante besluitvorming en publieke verantwoording versterken het vertrouwen. Deze zaak kan uitgroeien tot een voorbeeld voor andere, kleinere gemeenten die digitale systemen inzetten in het openbaar bestuur.
