Privacy en beveiliging voor gemeenten: samen naar compliance

De AP verwacht dat gemeenten minimaal volwassenheidsniveau 3 hebben op het gebied van informatiebeveiliging en privacy. Dit betekent werken volgens vastgestelde processen en structurele borging van maatregelen. Veel gemeenten hebben echter te maken met beperkte capaciteit en middelen, waardoor het realiseren van dit niveau een uitdaging is.²

Lumen Group begrijpt deze uitdagingen. Sinds 2017 helpen wij gemeenten bij het vertalen van complexe privacywetgeving naar werkbare oplossingen, passend bij krappe budgetten en beperkte interne expertise. Met sectorspecifieke kennis, onafhankelijk advies en praktische tools helpen wij gemeenten om risico’s te beheersen en vertrouwen van inwoners te behouden.

Gemeenten staan onder toenemende druk om te voldoen aan steeds strengere verplichtingen rond privacy, informatiebeveiliging en BIO‑ en AVG‑naleving. Daarnaast komen daar nu ook de NIS2-richtlijn en de Europese AI-verordening (AI Act) bij. NIS2 verplicht gemeenten als ‘essentiële entiteit’ om strengere beveiligingsmaatregelen te nemen, incidenten binnen 24 uur te melden en structureel risicobeheer in te richten. De AI-verordening introduceert vanaf 2025 nieuwe regels voor transparantie, risicobeoordeling en AI-geletterdheid, met extra eisen voor hoog-risico AI-systemen vanaf 2026.

Tegelijkertijd blijkt uit onderzoeken dat de positie van de Functionaris Gegevensbescherming (FG) in veel gemeenten kwetsbaar is. In meerdere gemeenten vervult de FG een dubbele rol, zoals Privacy Officer (PO) of CISO, wat leidt tot belangenconflicten. Daarnaast geeft een aanzienlijk deel van de FG’s aan onvoldoende middelen en mandaat te hebben om effectief toezicht te houden. In sommige gevallen ervaren FG’s zelfs actieve tegenwerking bij het uitvoeren van hun taken.