AVG-trainingen

Categorie: Overheid

  • Gemeenteraadsleden en de AVG: de controlerende functie bij privacyvraagstukken

    Gemeenteraadsleden en de AVG: de controlerende functie bij privacyvraagstukken

    Gemeenten verwerken dagelijks grote hoeveelheden persoonsgegevens van inwoners. Denk aan het aanvragen van een paspoort, het registreren van een geboorte in de Basisregistratie Personen (BRP) of besluiten binnen het sociaal domein. Deze gegevens zijn vaak gevoelig en raken direct aan de privacy van inwoners. Daarom ligt er voor de gemeenteraad een belangrijke verantwoordelijkheid in het toezicht op de omgang met persoonsgegevens.

    De Autoriteit Persoonsgegevens (AP) heeft speciaal hiervoor een handreiking AVG voor gemeenteraadsleden ontwikkeld. Hiermee kunnen raadsleden hun controlerende functie beter invullen en de juiste vragen stellen aan het college van burgemeester en wethouders.

    Privacy en de controlerende functie van raadsleden

    Eén van de belangrijkste verantwoordelijkheden van de gemeenteraad is het controleren van het college van B&W. Daarbij hoort ook toezicht op privacy en informatiebeveiliging. De AP benadrukt dat privacy een terugkerend onderwerp moet zijn in gesprekken tussen raad en college.

    Het risico is dat discussies al snel juridisch of technisch worden, maar dat hoeft niet. De kern van het gesprek kan worden teruggebracht tot een paar fundamentele vragen.

     

    Drie basisvragen uit de handreiking AVG

    Met de handreiking van de AP kunnen raadsleden zich focussen op drie belangrijke vragen:

    1. Wie is verantwoordelijk voor de verwerking van de persoonsgegevens?
      Het is belangrijk om te weten waar de verantwoordelijkheid ligt, zeker als de gemeente samenwerkt met externe partijen of binnen regionale samenwerkingsverbanden.
    2. Waarom is het verzamelen en gebruiken van de gegevens noodzakelijk?
      Dit helpt om scherp te krijgen of er geen onnodige of disproportionele gegevens worden verzameld.
    3. Hoe informeert de gemeente de inwoners over het gebruik van hun gegevens?
      Transparantie is een basisvereiste van de AVG. Burgers moeten weten welke gegevens worden verwerkt en met welk doel.

     

    Deze drie vragen geven grip en houvast om het gesprek met het college aan te gaan, zonder te verdrinken in juridische details.

     

    Gemeenten, technologie en privacy

    Gemeenten zetten bij hun taken steeds vaker technologie in, zoals data-analyse, sensoren en algoritmes. Daarbij verwerken ze vaak persoonsgegevens, wat nieuwe risico’s met zich meebrengt. Volgens de AP worden deze risico’s nog te vaak onvoldoende onderkend. Voor raadsleden ligt hier een duidelijke opdracht: actief toetsen of de gemeente privacy meeweegt bij de inzet van technologie. Dat vraagt niet om innovatie af te remmen, maar wel om zorgvuldigheid altijd voorop te zetten.

     

    Waarom is dit belangrijk?

    Burgers vertrouwen erop dat de gemeente zorgvuldig met hun persoonsgegevens omgaat. Fouten of misbruik kunnen grote gevolgen hebben voor betrokkenen, zeker voor inwoners die afhankelijk zijn van gemeentelijke besluiten. Door als raadslid de juiste vragen te stellen, kom je op voor de privacy van inwoners én versterk je de democratische controle op het gemeentebestuur.

     

    Extra verdieping: Masterclass AVG op hoofdlijnen – speciaal voor de overheid

    Wil je als raadslid of overheidsspecialist meer grip krijgen op de AVG? Dan is de online Masterclass AVG op hoofdlijnen – speciaal voor de overheid een aanrader. Deze masterclass biedt een helder overzicht van de belangrijkste verplichtingen uit de AVG, specifiek toegespitst op overheid.

    ✅ Volg de training in eigen tempo en tijd.
    ✅ Praktische uitleg zonder ingewikkeld jargon.
    ✅ Direct toepasbaar in de dagelijkse praktijk van de gemeenteraad.

     

    Met deze masterclass vergroot je jouw kennis, zodat je sterker staat in je controlerende rol en de juiste vragen kunt stellen over privacy en informatiebeveiliging.

  • Zijn de medewerkers van jouw politieke partij al op de hoogte van de wettelijke regels voor politieke reclame?

    Zijn de medewerkers van jouw politieke partij al op de hoogte van de wettelijke regels voor politieke reclame?

    Campagnes worden tegenwoordig bepaald door zowel de boodschap als de manier waarop een partij omgaat met data, privacy en technologie. Online advertenties, gepersonaliseerde nieuwsbrieven en zelfs AI-gegenereerde content worden steeds vaker ingezet door politieke partijen. Maar… weten de medewerkers van jouw politieke partij eigenlijk wat wel en niet mag?

    De Autoriteit Persoonsgegevens (AP) benadrukt dat er strenge wettelijke regels gelden voor politieke reclame. Deze komen uit de nieuwe Verordening betreffende transparantie en gerichte politieke reclame (VPR), de Algemene verordening gegevensbescherming (AVG) en de AI-verordening.

    In deze blog lees je de belangrijkste verplichtingen, praktische adviezen én waarom security- en privacy-awareness trainingen voor medewerkers onmisbaar zijn om jouw campagne compliant en veilig te houden.

     

    1. De VPR: nieuwe regels voor gerichte online politieke reclame

    Vanaf 10 oktober 2025 geldt de VPR. Deze verordening bevat specifieke regels voor het gericht adverteren in politieke campagnes.

    Wanneer ben je verwerkingsverantwoordelijke?
    Een verwerkingsverantwoordelijke is degene die alleen of samen met anderen beslist om politieke reclame te richten op specifieke groepen mensen. Dit houdt in dat je verantwoordelijk bent voor naleving van de regels.

     

    Belangrijkste regels voor gerichte politieke advertenties:

    1. Toestemming en herkomst van gegevens: persoonsgegevens mogen alleen gebruikt worden als deze rechtstreeks van de betrokkene zelf zijn verkregen.
    2. Geen bijzondere persoonsgegevens: targeting op basis van politieke voorkeuren, geloof, gezondheid of etniciteit is verboden.
    3. Uitdrukkelijke toestemming vereist: een kiezer moet expliciet toestemming geven voor gerichte politieke reclame. Voor communicatie met (ex-)leden geldt dit niet.
    4. Leeftijdsgrens: gerichte politieke reclame mag alleen aan personen van 17 jaar of ouder worden getoond.

     

    Transparantie en documentatieplicht

    • Stel een beleid op voor politieke reclame en bewaar dit minimaal 7 jaar.
    • Houd een register bij met de gebruikte targetingmethodes.
    • Voer jaarlijks een interne risicobeoordeling uit en publiceer de resultaten.

    Advies van de Autoriteit Persoonsgegevens (AP): werk alleen samen met organisaties die aantoonbaar voldoen aan de VPR en de AVG.

     

    2. De AVG: bijzondere regels voor politieke persoonsgegevens

    Politieke opvattingen vallen onder de categorie bijzondere persoonsgegevens en genieten extra bescherming.

    Wat mag wel en niet volgens de AVG?

    • Gegevens verwerken voor ledenadministratie of communicatie met leden is toegestaan.
    • Gegevens verwerken met uitdrukkelijke toestemming mag, mits aantoonbaar aan de wet voldaan wordt.
    • Het gebruik van externe bestanden met (vermeende) politieke voorkeuren is vrijwel altijd verboden.

     

    Beveiliging en cookies

    • Neem passende technische en organisatorische maatregelen (art. 32 AVG).
    • Voor tracking cookies is expliciete toestemming vereist. Tracking vóór toestemming is verboden.

     

    3. De AI-verordening: transparantie bij AI-content

    AI speelt een steeds grotere rol in campagnes. Denk aan deepfakes of AI-afbeeldingen of video’s die nauwelijks van echt te onderscheiden zijn.

    Vanaf 2 augustus 2026 geldt een disclosure-plicht:

    • Vermeld duidelijk wanneer content met AI is gemaakt of bewerkt.
    • Dit geldt voor audio, beeld, video én teksten die kiezers kunnen misleiden.
    • Teksten die door een mens zijn gecontroleerd, vallen buiten de disclosureplicht.

     

    Advies: wees nu al transparant over AI-content om misleiding te voorkomen en vertrouwen op te bouwen.

     

    4. Awareness: maak je medewerkers onderdeel van compliance

    Zelfs met de beste techniek blijft de menselijke factor een risico dat je niet kunt negeren. Fouten ontstaan vaak door onbewust handelen van medewerkers:

    • klikken op phishingmails tijdens een campagne,
    • het onveilig delen van persoonsgegevens,
    • onwetendheid over cookietoestemming of AI-transparantie.

    Daarom is een security- en privacy-awareness training onmisbaar voor politieke partijen.

     

    AVG-trainingen ontwikkelt trainingen op maat. Dit doen we ook voor politieke partijen met herkenbare casussen.:

    • Klassikale sessies voor bestuur, campagneteams en vrijwilligers.
    • E-learningmodules die medewerkers op hun eigen tempo en in hun eigen tijd kunnen volgen.
    • Praktische voorbeelden uit de politieke praktijk.

     

    Neem contact op voor meer informatie of een offerte.

     

    5. Praktische adviezen voor campagnes

    • Stel een Functionaris Gegevensbescherming (FG) aan.
    • Wees kritisch op externe data-aanbieders.
    • Wees transparant naar kiezers.
    • Begin tijdig: nieuwe regels vergen beleid, registers en jaarlijkse beoordelingen.

     

    Ondersteuning nodig?

    De regels voor politieke reclame zijn complex. Met de FG-as-a-service van De Privacy Experts krijg je direct toegang tot ervaren privacyprofessionals die:

    • toetsen of je campagneplannen voldoen aan de VPR, AVG en AI-verordening;
    • helpen  met beleid en risicobeoordelingen;
    • ondersteunen bij vragen van de Autoriteit Persoonsgegevens.

     

    ✅ Combineer dit met awareness-trainingen van AVG-trainingen en je medewerkers weten precies hoe ze veilig en compliant moeten handelen tijdens campagnes.

  • Functieprofiel Functionaris Gegevensbescherming (FG) bij de overheid

    Functieprofiel Functionaris Gegevensbescherming (FG) bij de overheid

    De Functionaris Gegevensbescherming (FG) is een onmisbare schakel binnen gemeenten en andere overheidsorganisaties. Als onafhankelijke privacy-adviseur en toezichthouder bewaakt de FG de bescherming van persoonsgegevens die worden verwerkt namens de gemeenteraad, het college van B&W en de burgemeester. Daarmee vervult de FG een belangrijke rol in het naleven van de Algemene Verordening Gegevensbescherming (AVG) en het versterken van vertrouwen van burgers in de overheid.

     

    De wettelijke rol van de FG

    De FG heeft belangrijke wettelijke taken gekregen. Hij of zij:

    • Informeert het bestuur, management en medewerkers over hun verplichtingen op het gebied van gegevensbescherming.
    • Adviseert over risico’s, passende maatregelen en beleidskeuzes.
    • Toetst en houdt toezicht op de naleving van de AVG, sectorale wetgeving en interne beleidsregels.
    • Beoordeelt gegevensbeschermingseffectbeoordelingen (DPIA’s) en andere risicoanalyses.
    • Is aanspreekpunt voor zowel de Autoriteit Persoonsgegevens als voor burgers die vragen of klachten hebben.

     

    Het doel: het bevorderen van een veilige, transparante en rechtmatige omgang met persoonsgegevens binnen de gemeente.

     

    Onafhankelijke positie

    Een FG binnen de overheid moet zijn werk volledig onafhankelijk kunnen uitvoeren. Dat betekent:

    • Geen inmenging of instructies van bestuur of management.
    • Geen ontslag of straf bij het uitvoeren van toezichtstaken.
    • Directe toegang tot de gemeentesecretaris, griffier en bestuursorganen.
    • Toegang tot alle processen, systemen en informatie die nodig zijn voor zijn of haar toezicht.

     

    De adviezen van de FG zijn zwaarwegend. Afwijken mag, maar alleen gemotiveerd en goed gedocumenteerd.

     

    Taken in de praktijk

    De FG binnen een gemeente of andere overheidsinstelling houdt zich dagelijks bezig met:

    • Het controleren van de naleving van interne en externe privacyregels.
    • Het bevorderen van security awareness van medewerkers.
    • Het begeleiden van de afhandeling van verzoeken van burgers, zoals inzage- of verwijderingsverzoeken.
    • Het adviseren over de inzet van technologieën zoals algoritmen of AI in gemeentelijke dienstverlening.
    • Het onderhouden van contact met de Autoriteit Persoonsgegevens.

     

    Hiermee verbindt de FG beleid, techniek, juridische verplichtingen en maatschappelijke verwachtingen.

     

    Functie-eisen: kennis en ervaring

    Een FG in de overheid beschikt doorgaans over:

    • HBO/WO werk- en denkniveau, vaak met een juridische, bestuurlijke of technische achtergrond.
    • Affiniteit met rechten en vrijheden van burgers, risicobeheersing en informatiemanagement.
    • Opleidingen en certificeringen op het gebied van gegevensbescherming, bestuurlijke advisering en auditing.
    • Ervaring in complexe organisaties, waar politiek, beleid en uitvoering samenkomen.

     

    Opleiding tot Functionaris Gegevensbescherming

    Wil je zelf aan de slag als FG bij de overheid? Dan is een gespecialiseerde opleiding essentieel. Bij AVG-trainingen volg je de Opleiding Functionaris Gegevensbescherming, waarin je wordt voorbereid op deze veelzijdige en verantwoordelijke rol. Je leert hoe je:

    • De AVG vertaalt naar de dagelijkse praktijk van gemeenten en overheidsinstellingen.
    • Toezicht vormgeeft en onafhankelijk opereert.
    • Strategisch advies geeft en draagvlak creëert bij bestuur en management.

    Met een certificaat op zak ben je goed voorbereid om als FG bij de overheid het verschil te maken.

  • Gemeente en informatieveiligheid: dit zijn de 5 kwetsbaarste werkplekken

    Gemeente en informatieveiligheid: dit zijn de 5 kwetsbaarste werkplekken

    Gemeenten verwerken dagelijks grote hoeveelheden gevoelige persoonsgegevens van inwoners: denk aan adresgegevens, BSN-nummers, belastinginformatie en soms zelfs medische of sociale gegevens. Juist daarom zijn gemeenten een aantrekkelijk doelwit voor cybercriminelen. Informatieveilig werken is dus erg belangrijk.

    Ambtenaren spelen hierin een belangrijke rol: hun zorgvuldige omgang met gegevens bepaalt direct de veiligheid van de gemeente. Een Privacy Officer kan richting geven, maar de veiligheid staat of valt met de verantwoordelijkheid van alle medewerkers. Hieronder lees je over 5 kwetsbare werkplekken waar ambtenaren extra alert moeten zijn.

     

    1. Flexwerkplekken en werken buiten het gemeentehuis

    Hybride werken is inmiddels standaard. Of je nu in de trein zit, in een koffiezaak werkt of in een flexruimte van de gemeente. Overal kan iemand meekijken op je scherm of je gesprekken opvangen.

    ???? Tips:

    • Gebruik nooit een gedeelde computer voor werk.
    • Maak altijd gebruik van een veilige netwerkverbinding (bij voorkeur via VPN).
    • Bespreek nooit vertrouwelijke zaken in openbare ruimtes.
    • Houd documenten en apparaten altijd bij je.

     

    2. Je computer en digitale werkplek

    Een slordig bureaublad of een computer zonder updates kan een risico vormen. Daarnaast is een onbeveiligd scherm een open uitnodiging voor datadiefstal.

    ???? Tips:

    • Zorg voor sterke wachtwoorden en gebruik multifactorauthenticatie.
    • Vergrendel je scherm altijd als je je werkplek verlaat.
    • Ruim regelmatig je bestanden op en verwijder verouderde software.
    • Gebruik een wachtwoordmanager voor veilig en efficiënt beheer.

     

    3. Gedeelde ruimtes in het gemeentehuis

    Printerruimtes, vergaderzalen en kantines zijn plekken waar informatie makkelijk blijft liggen. Denk aan printjes met persoonsgegevens of een whiteboard vol aantekeningen.

    ???? Tips:

    • Laat nooit documenten achter bij printers of in vergaderruimtes.
    • Wis whiteboards en schermen na gebruik.
    • Wees alert op bezoekers die zich vrij bewegen. Spreek onbekenden altijd aan.
    • Deel gevoelige informatie nooit terloops bij de koffieautomaat.

     

    4. Je bureau

    Een ‘clean desk’-beleid is erg belangrijk om gevoelige gegevens te beschermen. Losse dossiers, notities of USB-sticks kunnen makkelijk in verkeerde handen vallen.

    ???? Tips:

    • Ruim je bureau na gebruik op: “bureau leeg, kast op slot”.
    • Bewaar papieren en mappen in afgesloten kasten.
    • Minimaliseer het aantal fysieke documenten en digitaliseer waar mogelijk.

     

    5. Aan de telefoon en in gesprekken

    Niet alleen digitale, maar ook mondelinge informatie kan onbedoeld in verkeerde handen vallen. Gesprekken kunnen makkelijk worden opgevangen door collega’s, bezoekers of in openbare ruimtes.

    ???? Tips:

    • Let op je omgeving bij het voeren van vertrouwelijke telefoongesprekken.
    • Gebruik altijd een beveiligde verbinding (VPN, geen openbare wifi).
    • Deel geen gevoelige documenten via onbeveiligde e-mail of externe tools.

     

    Het belang van een Privacy Officer en security awareness

    Een Privacy Officer binnen de gemeente houdt toezicht op naleving van de AVG en adviseert over processen en risico’s. Maar techniek en beleid alleen zijn niet genoeg. Privacybewustzijn bij ambtenaren is de sleutel tot informatieveiligheid.

    Daarom is structurele training in security awareness erg belangrijk. Door praktijkgerichte trainingen leren ambtenaren hoe ze veilig omgaan met informatie, welke risico’s er zijn en hoe ze incidenten kunnen voorkomen.

     

    Conclusie

    Informatieveilig werken is een gezamenlijke verantwoordelijkheid van alle ambtenaren binnen de gemeente. Door alert te zijn op deze 5 kwetsbare werkplekken, samen te werken met de Privacy Officer en te investeren in security awareness-trainingen, bouw je aan een veilige gemeente waarin inwoners erop kunnen vertrouwen dat hun gegevens in goede handen zijn.

  • Wat maakt een gemeente zo kwetsbaar voor cybercrime?

    Wat maakt een gemeente zo kwetsbaar voor cybercrime?

    Gemeenten in Nederland staan in toenemende mate onder druk van cybercrime (Dreigingsbeeld Informatiebeveiliging 2023-2024). Cyberdreigingen nemen snel toe, waardoor gemeenten meer nodig hebben om dit probleem aan te pakken. Uit het Dreigingsbeeld Informatiebeveiliging 2023-2024 blijkt dat er drie soorten cybercrime een grote rol spelen: ransomware, kwetsbaarheden in software en gevaren in ketens. Gemeenten verwerken veel (vertrouwelijke) gegevens. Een cyberaanval is namelijk een groot risico voor een gemeente en het komt steeds vaker voor. Bovendien kan de schade van een cyberaanval vervelende gevolgen hebben voor een gemeente. Denk aan onterechte toegang tot vertrouwelijke of bedrijfsgevoelige gegevens. Dat wil een gemeente natuurlijk zoveel mogelijk voorkomen. Voorkomen is altijd beter dan genezen. Wat maakt een gemeente zo kwetsbaar voor cybercrime? Wat kan een gemeente doen om deze kwetsbaarheden aan te pakken? In het rapport staan 6 succesfactoren waarmee gemeenten aan de slag kunnen om de basis op orde te brengen.

    6 succesfactoren om gemeenten weerbaarder te maken tegen cybercrime

    De eerste succesfactor is financiën. Het is van belang om budget te reserveren voor informatiebeveiliging en privacy. De tweede succesfactor is techniek. Gemeenten moeten ervoor zorgen dat de basismaatregelen tegen cybercrime op orde zijn. Eigenaarschap management is de derde factor. Het is van essentieel belang dat informatiebeveiliging en privacy op de managementagenda van de gemeente komt te staan. Het management is ook verantwoordelijk voor de bescherming van persoonsgegevens. Hoe meer security awareness er is op managementniveau, hoe beter dat is voor het weerbaar maken van de organisatie. De vierde succesfactor gaat over organisatie. Investeren in voldoende kennis, vaardigheden en samenwerking is belangrijk. Binnen de organisatie moet er een open en veilige (privacy) cultuur ontstaan. De vijfde succesfactor bevat samenwerkingsverbanden. Hierbij gaat het om goede afspraken maken en ook erop toezien. De laatste succesfactor is de factor mens. Een belangrijke bouwsteen om gemeenten weerbaar te maken tegen cybercrime is awareness creëren op alle niveaus binnen de gemeente. In de praktijk zijn veel datalekken terug te voeren op een gebrek aan digitaal bewustzijn en andersom. Informatieveiligheid vraagt om doorlopende aandacht.

    Security awareness creëren

    Wil je als gemeente investeren in doorlopende security awareness? Heb je daarbij hulp nodig? Ben je op zoek naar volledige ontzorging? We bieden verschillende oplossingen op het gebied van informatiebeveiliging en privacy. Denk daarbij aan trainingen voor medewerkers, FG, CISO, Privacy Officer, management en dienstverlening. We hebben ook phishing simulatie in ons aanbod.

    Neem vrijblijvend contact met ons op voor een adviesgesprek of vraag een DEMO aan.

    Gemeente en cybercrime

     

  • Verschil Privacy Officer en Data Protection Officer

    Verschil Privacy Officer en Data Protection Officer

    Organisaties hebben een grote verantwoordelijkheid als het gaat om informatiebeveiliging en de naleving van de AVG. Op dit gebied zijn er diverse functies te onderscheiden, zoals de Privacy Officer en de Data Protection Officer of de functionaris gegevensbescherming (FG). Maar hoe verhouden de functies Privacy Officer en de Data Protection Officer zich tot elkaar en kun je ze combineren?

     

    Wat doet een Privacy Officer?

    De Privacy Officer zorgt voor continuïteit op het gebied van cybersecurity en privacy en is ook verantwoordelijk voor het actualiseren en bewaken van het securitybeleid binnen de organisatie en het ondersteunen van de uitvoering.  In dit artikel kun je lezen wat een PO nog meer doet in een organisatie.

     

    Wat doet een Data Protection Officer of Functionaris gegevensbescherming?

    De Data Protection Officer is iemand die binnen de organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). In dit artikel kun je lezen wat een DPO nog meer doet in een organisatie.

     

    Privacy Officer versus Data Protection Officer

    • Het grootste en zeker ook het belangrijkste verschil is dat een DPO verantwoordelijk is voor het toezicht houden op de naleving van de AVG en de Privacy Officer niet.
    • De Privacy Officer (PO) is verantwoordelijk voor het vormgeven en bewaken van het securitybeleid binnen de organisatie. De DPO houdt toezicht op de toepassing en naleving van het securitybeleid.
    • De Data Protection Officer mag geen instructies ontvangen van de verwerkingsverantwoordelijke over hoe hij zijn taken als DPO moet uitvoeren. De PO is verantwoordelijk voor de eerstelijnsadvisering en adviseert de verwerkingsverantwoordelijke, leidinggevenden en andere medewerkers over cybersecurity- en privacyvraagstukken.
    • De Privacy Officer levert een actieve bijdrage aan het verhogen van de awareness van medewerkers. De Data Protection Officer kan gevraagd en ongevraagd de PO voorzien van adviezen voor het creëren van awareness omtrent cybersecurity en privacy.
    • De DPO moet signaleren en rapporteren, terwijl de PO meer een operationele rol heeft. Hij of zij gaat aan de slag met de adviezen van de DPO.
    • Een belangrijke taak van de Privacy Officer is om risico’s in kaart te brengen. Denk daarbij ook aan DPIA’s.

     

    Functies combineren?

    Hoewel beide functies veel overeenkomsten hebben, is het raadzaam om ze niet te combineren. Door combinatie van deze functie kan de onafhankelijke rol van de DPO wel degelijk in het gedrang komen. De Autoriteit Persoonsgegevens stelt dat de FG binnen de organisatie niet ook een functie mag hebben waarin hij het doel en de middelen van een gegevensverwerking bepaalt. Dit om belangenverstrengeling te voorkomen.