Nu de Wet aanpak meervoudige problematiek sociaal domein op zich laat wachten, is het zinvol om te kijken welke wetgeving wél in werking is getreden en waarbij de gemeenten, net als in de Wams, een prominente rol vervullen.
Het betreft wetgeving ontstaan tussen 2021 en 2026, die betrekking heeft op veel partijen die veel gevoelige gegevens delen. Met deze wetten vormt ‘privacy’ geen belemmering meer om maatschappelijke problemen op te lossen. Maar er zijn ook zorgen.
Het gaat om de Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten, de Wet gegevensverwerking door samenwerkingsverbanden, de Wet bevorderen samenwerking en rechtmatige zorg, het project Landelijke Aanpak Adreskwaliteit en de Wet Gemeentelijke schuldhulpverlening.
Hieronder bespreek ik kort elke wet en de gevolgen ervan voor de dagelijkse praktijk.
De meest recente wet is de ‘Wet gegevensverwerking persoonsgerichte aanpak radicalisering en terroristische activiteiten’ (Wet Parta). Een wet die bij velen aan de aandacht is ontsnapt (ook bij mij). Deze wet is in de zomer van 2025 in werking getreden (Stb. 2025, 25). Het geeft de juridische grondslag voor een casusoverleg. Het doel van het casusoverleg is om radicalisering, extremisme en terrorisme in een vroeg stadium te herkennen en ingrijpen mogelijk te maken. Bij de uitvoering van deze wet zijn veel verschillende partijen betrokken: de burgemeester, het College van B&W, de politie, het Openbaar Ministerie, reclasseringsinstellingen en de Raad voor de Kinderbescherming.
In de praktijk zal een signaal of melding van radicalisering meestal vanuit de gemeente komen, zo veronderstelt de wetgever. (Dat is inderdaad aannemelijk nu een gemeente al over veel persoonlijke informatie van mensen beschikt, zoals zal blijken uit dit artikel.) Dat signaal gaat naar een 'weegploeg', bestaande uit politie, OM en burgemeester, voordat het aan het casusoverleg wordt voorgelegd. Bij de afweging door de weegploeg wordt rekening gehouden met objectieve criteria waaronder de mate waarin betrokkene bereid is geweld toe te passen of te propageren, de mate waarin betrokkene vasthoudt aan extremistische denkbeelden, zijn sociale relaties, de mate van identificatie met een extremistische groep of ideologie, en zijn zelfredzaamheid.
Op incidentele basis kunnen ook ‘satellietpartners’ deelnemen aan het casusoverleg. Gedacht kan worden aan de jeugdzorg- of GGZ-instelling, welzijnsorganisaties, daklozenloketten, onderwijsinstellingen, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de Koninklijke Marechaussee, organisaties op het terrein van deradicalisering of resocialisatie en externe deskundigen. Andere partijen die uitgenodigd kunnen worden voor een casusoverleg zijn de medewerkers van de NCTV, de IND of de Dienst Justitiële Inrichtingen (DJI).
Let wel: het college krijgt met deze wet geen nieuwe bevoegdheden, het wetsvoorstel biedt géén grondslag voor het treffen van nieuwe maatregelen en interventies. Het geeft gemeenten alleen een grondslag om voor dit doel persoonsgegevens te verwerken. De overige deelnemers aan een casusoverleg houden hun eigen bevoegdheden en verantwoordelijkheden.
In verband met de regierol van gemeenten is vervolgens de Wet gegevensverwerking door samenwerkingsverbanden relevant in deze opsomming. De behoefte aan deze wet werd ingegeven door de wens om maatschappelijke vraagstukken meer dan voorheen van een integrale aanpak te voorzien, waarbij verschillende overheidsinstanties, maar soms ook de private sector, met elkaar samenwerken om dat vraagstuk aan te pakken. Het doel van de samenwerking is de bestrijding van ondermijnende activiteiten. Het gaat om vier bestaande samenwerkingsverbanden:
1. Zorg- en Veiligheidshuizen (ZVH’s)
2. Regionale Informatie- en Expertisecentra (RIEC’s),
3. Financieel Expertisecentrum (FEC)
4. Infobox Crimineel en Onverklaarbaar Vermogen (iCOV)
Gemeenten spelen met name een rol bij de samenwerking binnen de Zorg- en Veiligheidshuizen en de Riec’s, zoals in de bestuurlijke interventieteams. De Wgs maakt het mogelijk om binnen deze samenwerkingsverbanden veel gevoelige gegevens te verwerken. In de AVG worden deze ‘bijzondere categorieën van persoonsgegevens’ genoemd. De deelnemers van een samenwerkingsverband zijn ‘gezamenlijke verwerkingsverantwoordelijken’ (art. 26 AVG). Omdat elke partij een eigen functionaris gegevensbescherming heeft, en om dat toezicht te stroomlijnen, schrijft de wet voor dat binnen elk samenwerkingsverband een fg-er wordt aangewezen die als coördinerend functionaris gegevensbescherming optreedt.
Daarnaast introduceert de WGS ook twee andere organen: de rechtmatigheidsadviescommissie en het contactpunt. De rechtmatigheidsadviescommissie adviseert het samenwerkingsverband over de rechtmatigheid van gegevensverwerkingen en over privacyrisico’s. Bij het contactpunt kan degene die onderwerp is van onderzoek, de betrokkene, zijn privacyrechten effectueren.
Ondanks aanhoudend bezwaar van de Autoriteit Persoonsgegevens (omdat er vooraf geen onafhankelijke toetsing door een rechter plaatsvindt), en de zorgen over de rol van de coördinerend fg-er, is deze wet op 1 maart 2025 in werking getreden (Stb. 2024, 198).
De derde wet die voor gemeenten relevant is, is de ‘Wet bevorderen samenwerking en rechtmatige zorg’ (Wbsrz). Deze wet maakt gegevensuitwisseling in het kader van de zorgfraude mogelijk en is op 1 januari 2025 in werking getreden (Stb. 2024, 300).
Om zorgfraude in beeld te krijgen is een ‘informatieknooppunt’ in het leven geroepen, het ‘waarschuwingsregister’. Het woord waarschuwingsregister komt in de wet zelf niet voor (artikel 2.4 Wbsrz) maar wordt door beleidsmakers wel gebruikt. Het doel van het waarschuwingsregister is om de uitwisseling, tussen gemeenten en zorgverzekeraars, van gegevens van fraudeurs mogelijk te maken. Dit centraal waarschuwingsregister kan aangemerkt worden als een zwarte lijst (vergelijk art. 33 UAVG).
Partijen die een melding kunnen doen zijn het Centrum Indicatiestelling Zorg (CIZ), de FIOD, de Colleges van B&W, de Inspectie Gezondheidszorg en Jeugd, de Nederlandse Arbeidsinspectie, de SVB, de uitvoerders van de Wet langdurige zorg, de Zorgautoriteit, de ziektekosten- en de zorgverzekeraars. Alle andere partijen, waaronder ook burgers, kunnen geen melding doen bij het IKZ, maar moeten een fraudemelding doen bij Meldpunt Zorgfraude van de Nederlandse Zorgautoriteit.
Vervolgens verzamelt en beheert het Informatieknooppunt Zorg (IKZ, een stichting) de meldingen. Hier wordt het fraudesignaal nog verrijkt en verstrekt aan de partijen die gaan handhaven. In de toekomst (?) worden gegevens uit het Wmo- en Jeugdwet-berichtenverkeer via het Bureau Informatiediensten Nederland (BIDN, voorheen stichting Inlichtingenbureau) verstrekt aan het IKZ. Tot die tijd verstrekken en ontvangen de gemeenten die gegevens zelf.
Een melding bevat geen informatie over de aard en omvang van de fraude of de geconstateerde feiten en de omstandigheden waaronder de fraude zich heeft voorgedaan. Die details zijn niet noodzakelijk voor het met het systeem beoogde doel. Wel wordt informatie van strafrechtelijke aard (fraudeonderzoek) gebruikt, die door de Nederlandse Arbeidsinspectie en de FIOD worden verwerkt op grond van de Wet politiegegevens (art. 8 en 9 Wet politiegegevens). Informatie over gezondheid die in dit kader mogelijk verwerkt wordt, betreft slechts de gegevens die duidelijk maken in welk domein de zorg aan desbetreffende zorgbehoevende wordt geleverd. Medische gegevens (waar geheimhouding op rust op grond van de Wet geneeskundige behandelingsovereenkomst en de Wet op de beroepen in de individuele gezondheidszorg) worden uitgesloten. Maar wel is toegestaan overige gegevens omtrent gezondheid voor deze doeleinden te verwerken waar geen wettelijk beroepsgeheim op rust. Op de verwerking van die gegevens zijn de AVG (art. 9) en de UAVG (art. 30) van toepassing.
In tegenstelling tot de overige hier beschreven wetten, zijn in deze wet heldere grenzen en waarborgen opgenomen die bijdragen aan een zorgvuldige verwerking van persoonsgegevens. Gegevens mogen alleen voor fraude-opsporing worden gebruikt, niet voor andere doeleinden, de verstrekkingsbepalingen zijn limitatief, een kwestie wordt alleen bij het IKZ gemeld na akkoord van de toezichthouder (bedoeld wordt de Wmo-toezichthouder of de Arbeidsinspectie) en de bewaartermijnen en de uitoefening van de rechten van betrokkenen moeten vooraf geregeld zijn (zie Besluit bsrz).
In deze wet is, in tegenstelling tot de schuldhulpverlening (art. 10 Wgs), het gebruik van persoonsgegevens voor profilering (conform art. 22 AVG) expliciet uitgesloten (art. 2.6 Wbsrz).
De volgende gegevensuitwisseling is van iets andere orde, maar wel van belang in dit overzicht omdat elke gemeente ‘bronhouder’, verwerkingsverantwoordelijke, is voor deze gegevens. Het gaat om het project Landelijke Aanpak Adreskwaliteit (LAA). Een werkwijze die vanaf 2014 in heel Nederland werd uitgerold, maar pas in mei 2023 van een rechtmatige grondslag werd voorzien (terug te vinden in de Wet Basisregistratie personen zie art. 2.37a e.v. (Stb. 2023, 145 en Stb. 2023, 146).
LAA hanteert de methode ‘risicogericht adresonderzoek’. Dat betekent dat aan de hand van criteria en signalen, een adres ‘in onderzoek’ wordt gezet, in de AVG bekend als ‘profiling’ (art. 22 AVG).
Om adresfraude op te sporen, wordt gebruik gemaakt van kenmerken van de persoon en zijn relaties (zie bijlagen 9a, 9b en 9c Regeling basisregistratie personen). De aanpak bestaat uit een samenwerking tussen vele partners die signalen aanleveren. Dat zijn naast de verplichte deelname van alle 342 gemeenten, diverse ministeries: Binnenlandse Zaken en Koninkrijksrelaties, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Financiën en Onderwijs, Cultuur en Wetenschap. Voor de ministeries doen hun uitvoeringsorganisaties mee SVB, UVW, CJIB.
De signalen worden gedeeld met het Informatieknooppunt (IKP) dat ze analyseert en geschikt maakt voor mogelijk onderzoek door gemeenten. In het IKP wordt bovendien de informatie van de deelnemende organisaties aangevuld met gegevens die worden verkregen uit andere (basis)registraties. De gegevens worden verwerkt tot risicogerichte signalen voor adresonderzoek. De gemeente kan met deze signalen een onderzoek starten en bijvoorbeeld een huisbezoek afleggen. Op die manier stelt de gemeente vast of de adresgegevens kloppen. Medewerkers van gemeenten kunnen vervolgens risicogericht adresonderzoek doen en waar nodig de adresgegevens corrigeren in de BRP.
Men spreekt van ‘adresonderzoek', maar dat is misleidend. Adressen zijn statisch (straat, huisnummer, woonplaats), die wijzigen niet. Onderzoekswaardig zijn de mensen die er wel of niet verblijven.
Deze werkwijze is ook terug te vinden in het algoritmeregister van de Rijksdienst voor Identiteitsgegevens (algoritmes.overheid.nl/nl).
Tot slot mag de Wet Gemeentelijke schuldhulpverlening (Wgs) niet onvermeld blijven. Deze wet is in 2021 aangevuld met bepalingen die de grondslag vormen voor de verwerking van persoonsgegevens om zo een integrale aanpak van problematische schulden mogelijk te maken. Een klein wetje (14 artikelen) met verstrekkende gevolgen.
Voor schuldhulpverlening is veel financiële informatie nodig. De Wgs wil de uitwisseling van persoonsgegevens faciliteren voor vroegsignalering van schulden en schuldhulpverlening. De gemeente krijgt met deze wet niet alleen een regierol maar ook een wettelijke zorgplicht, bedoeld als instrument om de problemen op te lossen. Er zijn een onbeperkt aantal partijen betrokken bij deze taak. Allereerst zijn dat de partijen die in het kader van vroegsignalering een eerste signaal van een betalingsachterstand afgeven. Dat zijn de verhuurders, de energiebedrijven en de zorgverzekeraars. Als daarna blijkt dat een inwoner in aanmerking komt voor schuldhulpverlening, is voor het opstellen van het plan van aanpak en voor afstemming met andere hulpverleners (integraal werken) de volgende informatie nodig: heeft de betrokkene een uitkering, WMO voorziening en/of Jeugdhulp? Is de cliënt bekend in het curatele- en bewindregister? Bij bedrijfsnamen en rechtspersonen zijn gegevens nodig over het inkomen, waaronder alle uitkeringen, toeslagen, pensioenen, alimentatieverplichtingen. Daarnaast is informatie nodig omtrent vermogen waaronder onroerend goed en auto’s. Ook informatie over betalingsachterstanden van alle schuldeisers, zowel bij de overheid waaronder de landelijke en lokale belastingen, kredieten en betalingsachterstanden als van partijen in de private sector wordt meegenomen om een hulpverleningstraject te starten.
Gemeenten verstrekken in een later stadium gegevens over schuldhulpverlening aan een groot aantal partijen: de gerechtsdeurwaarders, aan de verstrekkers van de signalen, zoals genoemd: de verhuurders, energiebedrijven, en zorgverzekeraars en aan schuldeisers, bewindvoerders en kredietverstrekkers. Ook gerechtsdeurwaarders en bewindvoerders ontvangen de gegevens ‘ter uitoefening van hun wettelijke taak’. Deze verstrekking door de gemeente van gegevens van mensen die schuldhulp krijgen is geformuleerd als een verplichting (art. 17 Besluit gemeentelijke schuldhulpverlening). Dat heeft voor de betrokkenen grote gevolgen omdat deze dan bij veel partijen in de registratie is opgenomen als schuldenaar.
Ook maakt deze wet ‘profilering’ mogelijk (art. 10 Wgs), zoals in het boek Gegevensverwerking en privacy in het sociaal domein aan de orde komt.
De invulling van de gemeentelijke regierol bij de Wet Parta komt overeen met die in vergelijkbare wetgeving voor informatiedeling tussen de domeinen van zorg, welzijn en veiligheid. Denk naast de hier besproken vijf wetten ook aan de Jeugdwet, de Wet maatschappelijke ondersteuning, de Participatiewet en, mogelijk straks de Wams.
De VNG wijst er in haar ambtelijk advies bij de Wet Parta op dat gemeenten niet eindverantwoordelijk moeten worden gemaakt voor het oplossen van elke radicaliseringscasus. Er moet voor gewaakt worden dat de gemeentelijke regierol zoals bij schuldhulpverlening en in het sociaal domein, niet wordt doorkruist, aldus de VNG (bron: zoek.officielebekendmakingen.nl/blg-1054945).
Ook juristen maken zich zorgen. Juist door deze combinatie van wetten komen privacyprincipes in de knel.* Die betreffen het principe van doelbinding, dataminimalisatie, transparantie en rechtsbescherming.
Deze wetten werken met ruime definities. Zo is weliswaar de doelbinding beschreven in de zin van de AVG, maar die zijn in deze wetten soms zo ruim geformuleerd dat heel veel gedragingen hieronder geschaard kunnen worden. Deze wetten beogen maatschappelijk problemen op te lossen en daarbij is nagenoeg alle informatie over een persoon en zijn omgeving relevant en het grote aantal betrokken partijen kent nauwelijks een afbakening. De betrokken burgers die onderwerp van onderzoek zijn worden vaak niet geïnformeerd over de verwerking van hun persoonsgegeven. Welke Nederlander weet bijvoorbeeld dat hij bij een verhuizing aan profiling wordt onderworpen (project LAA)? Ook de rechtsbescherming is mager. Uit publicaties (en eigen ervaring) blijkt dat een klacht bij de Autoriteit Persoonsgegevens weinig kans van slagen heeft (zie ook: nationaleombudsman.nl/nieuws/nieuwsbericht/2022/aanhoudende-zorgen-over-klachtbehandeling-autoriteit-persoonsgegevens).
Door deze overlap en samenloop van wetten wordt een grote inbreuk op de persoonlijke levenssfeer gemaakt. Is die inbreuk evenredig, is dat behoorlijk en transparant (art. 5 AVG)? Het gaat hierbij vaak om een groep kwetsbare mensen die niet snel in het geweer zullen komen en hun rechten opeisen.
De vraagt komt op of door de publiek-private samenwerking en de gegevensuitwisseling in (landelijke) systemen een individuele gemeente de regie kan houden? En welk toezichtsinstrumentarium is voorhanden om te controleren of wettelijke regels worden nageleefd?
Met deze wetgeving wordt een zorgvuldige verwerking van persoonsgegevens een grote uitdaging voor gemeenten.
Mr. Corrie Ebbers is privacyjurist. Op 23 april 2026 geeft zij de cursus Verdieping AVG en gegevensdeling sociaal domein te Utrecht. Kijk hier voor meer informatie. Daarnaast geeft zij vanaf oktober 2026, ook in Utrecht, de 4-daagse cursus Gegevensverwerking en privacy in het sociaal domein.
*
