Deze website gebruikt cookies

We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.

Onze privacyverklaring:

Blogs / 

Naleving van de AVG en de NIS2 door gemeenten

IT, Privacy & Cybersecurity

20 mei 2025

Geschreven door

Natascha van Duuren

Blog Image

De Autoriteit Persoonsgegevens (AP) heeft vorige week bekend gemaakt dat zij de komende maanden steekproefsgewijs verschillende gemeenten zal bezoeken (AP gaat op inspectie bij gemeenten | Autoriteit Persoonsgegevens). Het doel van deze inspecties is om te controleren hoe gemeenten omgaan met de persoonsgegevens en privacy van burgers. Dit onder meer naar aanleiding van het Sectorbeeld Overheid uit 2024 waaruit bleek dat de overheid de AVG niet altijd even goed naleeft. Dit terwijl overheidsorganisaties meer persoonsgegevens verzamelen dan ooit en bovendien meer gegevens dan ooit aan elkaar willen koppelen.

Is uw gemeente klaar voor de AVG- en NIS2-controle?

De AP heeft aangegeven tijdens de inspecties onder meer te kijken naar:

  1. Hebben de gemeenten een volledig en actueel overzicht van alles wat zij met persoonsgegevens van inwoners doen? Met andere woorden, hebben zij een compleet en up-to-date verwerkingsregister?
  2. Brengen gemeenten eventuele privacyrisico’s goed in kaart voordat zij persoonsgegevens ergens voor gaan gebruiken? Voeren gemeenten DPIA’s uit in die gevallen waarin dat verplicht is?
  3. Hebben gemeenten hun interne privacytoezicht goed geregeld? Hebben de gemeenten een functionaris gegevensbescherming (FG) aangesteld? 

Heeft u de beveiligingsmaatregelen goed ingericht?

Privacy en security zijn twee onderwerpen die nauw met elkaar samenhangen. Op grond van de AVG is de verwerkingsverantwoordelijke verplicht passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen. De Cyberbeveiligingswet (de Nederlandse NIS2 implementatiewet) stelt eveneens eisen aan beveiliging en bevat (onder meer) een aantal minimumbeveiligingsmaatregelen die gemeenten moet treffen.

Wat te doen bij een datalek of cyberaanval?

Ook in de praktijk blijken privacy en security nauw met elkaar samen te hangen. Zo komt het geregeld voor dat persoonsgegevens betrokken zijn bij een cyberincident die op grond van de AVG niet of niet meer mogen worden verwerkt. Dit laat onverlet dat de betrokkenen over het cyberincident moeten worden geïnformeerd, volgens de AP zelfs vrijwel altijd.

Vragen?

Wilt u meer weten over de verplichtingen die voortvloeien uit zowel de AVG als de Cyberbeveiligingswet, aarzelt u dan niet contact op te nemen met een van onze specialisten of met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity.

Nieuwsbrief

Wilt u elke maand een overzicht van updates en blogs in uw mailbox? Klik dan hier om u in te schrijven voor de nieuwsbrief!