Automatisering in de publieke sector levert enorme voordelen op: snellere dienstverlening, lagere kosten, minder fouten. Maar het werken met persoonsgegevens in geautomatiseerde processen raakt direct aan de AVG — en overheidsinstanties staan daarin onder extra toezicht van de AP (Autoriteit Persoonsgegevens). Dit zijn de zeven regels die ik altijd doorloop met overheidsklanten voordat we ook maar één workflow bouwen.
Disclaimer: Dit artikel is informatief van aard en geen juridisch advies. Raadpleeg altijd uw eigen FG (Functionaris Gegevensbescherming) bij twijfel over specifieke situaties.
Waarom automatisering en AVG wrijving geven
De AVG is geschreven in een tijd dat "big data" nog een nieuw begrip was. De wetgeving vereist dat elke verwerking van persoonsgegevens een wettelijke grondslag heeft, doelgebonden is, en minimaal invasief is. Automatisering — zeker met AI-componenten — kan al snel de grenzen van deze principes opzoeken. Denk aan:
- Profilering op basis van automatisch verwerkte gegevens
- Geautomatiseerde beslissingen met rechtsgevolgen (artikel 22 AVG)
- Onbedoeld samenvoegen van datasets die apart zijn bedoeld
- Bewaartermijnen die niet worden gerespecteerd in geautomatiseerde systemen
De 7 regels
-
1
Stel een DPIA op vóórdat je bouwt
Een Data Protection Impact Assessment is verplicht bij de inzet van nieuwe technologie die persoonsgegevens verwerkt op grote schaal. Doe dit altijd vóór de implementatie, niet erna. Een DPIA achteraf is technisch gezien een overtreding. In de praktijk: plan de DPIA in de discovery-fase, parallel aan de technische architectuur.
-
2
Documenteer elke verwerkingsactiviteit in het register
Het Verwerkingsregister (artikel 30 AVG) moet up-to-date zijn met elk nieuw geautomatiseerd proces dat persoonsgegevens raakt. Vergeet dit niet bij uitbreidingen of wijzigingen van bestaande workflows. Wij bouwen altijd een automatische registratiestap in de deployment-checklist.
-
3
Bouw dataminimalisatie in als technische vereiste
Vraag bij elke gegevensveld: hebben we dit écht nodig voor dit specifieke doel? Automatisering heeft de neiging meer data te loggen dan nodig — debug-informatie, tijdstempels, API-responses — die onbedoeld persoonsgegevens bevatten. Definieer expliciet welke velden worden opgeslagen, voor hoe lang, en met welk doel.
-
4
Leg geautomatiseerde beslissingen altijd vast met redenering
Als een geautomatiseerd systeem een beslissing neemt die rechtsgevolgen heeft voor een burger (afwijzing aanvraag, toewijzing uitkering), verplicht artikel 22 AVG dat de betrokkene recht heeft op menselijke tussenkomst en uitleg. Zorg dat je workflow de beslissingsreden logt in begrijpelijke taal, niet alleen een statuscode.
-
5
Implementeer automatische bewaartermijnen
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. In de praktijk wordt dit zelden gehandhaafd bij handmatige processen — maar in een geautomatiseerd systeem kun je dit direct inbouwen. Configureer retentieregels per gegevenstype, en zorg dat verwijdering aantoonbaar en volledig is (ook in backups en logs).
-
6
Zorg voor een volledige en doorzoekbare audit trail
Bij overheidsprocessen is aantoonbaarheid cruciaal — zowel voor AVG-compliance als voor de Wet open overheid (Woo). Elke geautomatiseerde handeling met persoonsgegevens moet worden gelogd: wie, wat, wanneer, op basis van welk besluit. Nemoclaw heeft dit ingebouwd; bij andere platforms moet je dit expliciet configureren.
-
7
Test het inzagerecht en het recht op verwijdering technisch
Burgers hebben het recht om in te zien welke gegevens over hen zijn verwerkt (artikel 15 AVG) en om verwijdering te verzoeken (artikel 17). Dit klinkt vanzelfsprekend, maar in complexe geautomatiseerde systemen met meerdere databases en log-bestanden is dit technisch uitdagend. Test expliciet of je aan een inzageverzoek kunt voldoen — en schrijf het proces uit.
Praktijkervaring: wat gaat er mis?
In mijn werk bij gemeenten en rijksinstanties zie ik drie terugkerende problemen:
1. De FG wordt te laat betrokken
De Functionaris Gegevensbescherming wordt vaak pas geconsulteerd als het systeem al gebouwd is. Op dat moment is aanpassing duur en pijnlijk. Betrek de FG bij de kick-off — niet bij de acceptatietest.
2. Subverwerkers worden niet in kaart gebracht
Een automation platform draait zelden alleen. Het roept APIs aan, slaat data op in cloudopslag, stuurt e-mails via externe diensten. Elke partij die daarvoor persoonsgegevens verwerkt, is een subverwerker en vereist een verwerkersovereenkomst.
3. Logging is niet AVG-proof
Veel platforms loggen standaard alles — inclusief de volledige payload van berichten met persoonsgegevens. Configureer logging zodat persoonsgegevens worden gemaskeerd of gepseudonimiseerd in logbestanden.
Checklist: DPIA afgerond? Verwerkingsregister bijgewerkt? FG akkoord? Verwerkersovereenkomsten getekend? Bewaartermijnen geconfigureerd? Audit trail volledig? Inzagerecht technisch getest? Als je op een van deze punten "nee" antwoordt, ga dan niet live.