Gemeenten, overheid maar ook andere overheidsinstellingen dienen in hun online communicatie rekening te houden met de Wet Privacy waarin bescherming van persoonsgegevens centraal staat. Er staan veel regels in deze wet. Zo veel dat u al snel door de bomen het bos niet meer ziet. Deze regels worden steeds verder aangescherpt en de boetes worden steeds hoger en ook vaker uitgedeeld.

De overheid en gemeenten beheren belangrijke persoonsgegevens van alle inwoners van Nederland. De verwerking van deze privacygegevens wordt gedaan in het Gemeentelijke Basis Administratie (GBA) of het nieuwe Basisregistratie Personen (BRP). Hoe gemeenten om mogen gaan met de persoonsgegevens staat, onder andere,  beschreven in de Wet GBA.

Digitaliseren van communicatiestromen

De Vereniging van Nederlandse gemeente heeft het ‘Nationaal Uitvoeringsprogamma dienstverlening en e-overheid‘ (NUP) uitgewerkt. In dit programma staat het kader beschreven hoe de overheid en de gemeenten willen interacteren met de burger en bedrijf. Dit beleid is geschreven in 2008. Tot 2015 hebben gemeenten de tijd om te voldoen aan het NUP.

Op de eerste 15 pagina’s van het NUP  staan een aantal belangrijke onderwerpen gerelateerd aan communicatie met inwoners. Deze onderwerpen geven aan dat het gebruik van elektronisch berichtenverkeer moet worden gestimuleerd.

Inwoner bepaalt het communicatiekanaal

Bovendien geven de onderwerpen aan dat de burger of bedrijf zelf het communicatiekanaal mogen kiezen. En via dit communicatiekanaal wordt de aanvraag afgehandeld. Er staat niet beschreven welke communicatiekanalen.

De Wet- en Regelgeving

In het algemeen is op vragen over gegevensverwerking de Wet bescherming persoonsgegevens (Wbp) van toepassing. Voor gevallen die betrekking hebben op de Gemeentelijke Basisadministratie (GBA) is echter de wet GBA van toepassing (artikel 2, tweede lid, onder de Wbp). De wet GBA gaat dan vóór de Wbp.

Op dat, wat een gemeente meer registreert aan persoonsgegevens dan de Wet GBA voorschrijft is de Wbp van toepassing. Als een gemeente op grond van andere gemeentelijke taken extra gegevens registreert, dan worden deze gegevens als het ware “aangehaakt” aan de GBA-gegevens. Op de aangehaakte gegevens in de GBA van een gemeente is voor wat betreft de bescherming van de persoonlijke levenssfeer niet de Wet GBA van toepassing, maar de Wbp. De registratie van aangehaakte gegevens moet de gemeente melden bij het CBP.

Het CBP verwijst de gemeenten naar de website van de Nederlandse vereniging voor burgerzaken (http://www.nvvb.nl) voor een overzicht van de categorieën van verwerkers en de gegevens waarover zij mogen beschikken.

Andere wetten en regelgeving die gemeenten moeten naleven zijn onder andere:

  • Wet Bescherming Persoonsgegevens
  • Databankenwet
  • Wet Electronisch Bestuurlijk Verkeer
  • Wet basisregistratie personen (BRP)
  • Eigen reglementen per gemeente

Wet GBA/ WET BRP

Sinds 6 januari 2014 is de Wet BRP van kracht. De voorganger de Wet GBA was in 1994 in werking getreden. Deze wet verving de uit de 19-de eeuw stammende Wet bevolkings- en verblijfregister en het Besluit bevolkingboekhouding. Alle gemeenten moesten hun kaartenbakken vervangen door een geautomatiseerd systeem, de ‘gemeentelijke basisadministratie persoonsgegevens’, kortweg aangeduid de GBA. In de GBA worden alle gegevens volledig geautomatiseerd opgeslagen en kunnen worden uitgewisseld met andere bestanden van de overheid. Denk hierbij aan uw eigen persoonsregistratie, waar u woont, uw gegevens van uw paspoort of een bouwvergunning. Het BRP, de opvolger, biedt meer mogelijkheden en beter beveiliging dan de verouderde wet GBA.

Het verstrekken van gegevens uit de BRP

De BRP biedt de mogelijkheid tot gegevensverstrekking. De wet BRP maakt daarbij onderscheid tussen verschillende categorieën gebruikers.

  • Afnemers: overheid, bestuursorganen, uitvoering publiekrechtelijke taken;
  • Bijzondere derden: aangewezen, verkrijgt gegevens via GBA-netwerk, schriftelijke verstrekking is in uitzonderlijke gevallen mogelijk gemaakt;
  • Verplichte derden: gerechtelijke procedure, dagvaarding, gerechtelijke werkzaamheden horen “verplicht” tot de taak van deze verzoeker;
  • Vrije derden: gemeentelijk beleid, verordening;
  • Overig: verstrekking mogelijk, niet op basis van de Wet BRP of de gemeentelijke verordening.

Twee hiervan worden uitgebreider beschreven.

  • Afnemers: dit is de categorie waarvoor de BRP bedoeld is. Zij voeren taken uit op grond van wetgeving of zij zijn specifiek aangewezen om gebruik te mogen maken van gegevens uit de BRP. Afdelingen binnen gemeenten zijn als “binnengemeentelijke dienst” bijvoorbeeld een afnemer volgnes artikel 96 BRP. Dit hoeft niet alleen voor een wettelijke taak te zijn maar kan ook de uitvoering van gemeentelijk beleid zijn.
  • Vrije derden: De gemeente bepaalt zelf aan wie zij nog meer persoonsgegevens verstrekt. Aan deze vrijheid worden overigens wel grenzen gesteld. Zo mogen er bijvoorbeeld geen gegevens voor commerciële doeleinden worden verstrekt. De kaders van artikel 100 wet BRP en de gemeentelijke verordening zijn nu bepalend. Dit kan dus een externe website zijn die wordt ingezet voor e-participatie binnen een gemeente.

Persoonsgegevens uit het BRP en commerciële doeleinden

Persoonsgegevens mogen niet verstrekt worden aan advocaten, ambassade/consulaat of andere buitenlandse overheidsinstellingen, financiële instellingen, buitengerechtelijke incassowerkzaamheden, commerciële doeleinden of het bijhouden van een “niet-pensioen” gerichte administratie, gerechtsdeurwaarders, incassobureaus, notarissen, postorderbedrijven, rechtsbijstand, rechtskundig- en adviesbureaus, verzekeringsmaatschappijen, zorgverzekeraars en andere commerciële instellingen. Alleen met toestemming van de FG is verwerking van gegevens aan bovengenoemde derden mogelijk.

Het College Bescherming van Persoonsgegevens (CBP) is toezichthouder op naleving van de wetten die het gebruik van persoonsgegevens beschrijven. Daarnaast adviseert het CBP de regering en de (locale) overheid. Via verschillende kanalen als internet, telefonisch spreekuur of door mondelinge uitleg probeert het CBP uitleg te verschaffen. Op de website van het CBP vind u meer informatie.

Het CBP heeft een toezichthoudende taak.

Op grond van artikel 120 van de Wet BRP heeft het CBP een toezichthoudende taak bij de uitvoering van de Wet BRP. Artikel 120 van de Wet BRP schrijft voor dat de gemeente de, krachtens de artikelen 14, eerste lid, 96, eerste lid en 100, eerste lid, gestelde regels daarvan aan het CBP toestuurt. Het betreft de beheersregeling, de regeling met betrekking tot de binnengemeentelijke afnemers en de verstrekking aan vrije derden. Deze regels dienen bij of krachtens een gemeentelijke verordening te worden vastgesteld.

Als toezichthouder op de uitvoering van de Wet BRP heeft het CBP de mogelijkheid van boetes, het toepassen van bestuursdwang (dit komt zelden voor) of het opleggen van een dwangsom. Ook kan het CBP bij gemeenten onderzoeken uitvoeren, los van de verplichte jaarlijkse GBA-audit. Tevens ziet het ministerie van Binnenlandse Zaken toe op de instandhouding van het BRP-stelsel.

De Wet GBA heeft bepaalde vrijstellingen voor verwerken van persoonsgegevens. Deze vrijstellingen zijn alleen van toepassing op gemeentes, overheden en andere gerelateerde organisaties.

Verordening en Reglementen per gemeente

Naast het WBP en de Wet BRP heeft iedere gemeente haar specifieke reglementen beschreven. Iedere burger kan deze gegevens opvragen bij de gemeente. De gemeente Amsterdam heeft haar verordening, net als de gemeente Den Haag, Reglement voor de Haagse bevolkingsadministratie, online gepubliceerd.