GDPR

Data Privacy Day 2026: waarom nu hét moment is voor een gerichte GDPR-audit en doordachte AI-strategie bij lokale besturen

28 januari 2026

Lokale besturen beheren elke dag een rijkdom aan persoonsgegevens om hun publieke taken waar te maken. Data Privacy Day op 28 januari is uitgegroeid tot een jaarlijks ijkpunt om die verantwoordelijkheid scherp te stellen, de GDPR-naleving te toetsen én nieuwe risico’s van technologie, zoals generatieve AI, te adresseren. Het is de ideale aanleiding voor een snelle maar robuuste audit: waar staat u vandaag, welke documentatie is aantoonbaar op orde, en waar liggen de prioriteiten voor de komende periode?

Van mensenrechten tot GDPR: de normatieve lat ligt hoog 

De Europese traditie van gegevensbescherming wortelt in het mensenrechtenkader en is niet louter een compliance-oefening. Artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) erkent het recht op respect voor het privéleven en vormt een eerste pijler.

Met het Handvest van de grondrechten van de Europese Unie kwam een verdere verankering: naast eerbiediging van het privéleven (artikel 7) kreeg gegevensbescherming een zelfstandig grondrecht (artikel 8). Deze constitutionalisering legitimeert en verplicht tegelijk: de GDPR is sinds 2018 het regelgevende instrument dat dat kader omzet in concrete plichten en rechten, en dat voor zowel ondernemingen als (lokale) overheden.

De GDPR in één oogopslag: principes met tanden

De GDPR stuurt de volledige levenscyclus van elke “verwerking” van “persoonsgegevens” via samenhangende principes: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; integriteit en vertrouwelijkheid. Overkoepelend geldt de verantwoordingsplicht: elke entiteit en bestuur moet kunnen aantonen dat aan deze beginselen wordt voldaan (art. 5, lid 2 GDPR).

Wat betekent dat nu concreet:

  • Indien een lokale overheid persoonsgegevens verwerkt moet ze voor elke verwerking een geldige rechtsgrond hebben (art. 6 GDPR) en extra voorwaarden respecteren bij de verwerking van bijzondere categorieën persoonsgegevens, zoals gezondheidsgegevens (art. 9 GDPR).
  • Verder vergt het principe van de doelbinding dat gegevens alleen worden verwerkt voor vooraf bepaalde doeleinden. Als deze doelen veranderen, volgt een beoordeling naar verenigbaarheid van de doeleinden. Dataminimalisatie houdt daarnaast in dat alleen gegevens die strikt noodzakelijke zijn worden verzameld en gebruikt.
  • Transparantie vereist duidelijke informatie aan betrokkenen waarvan hun persoonsgegevens worden verwerkt (art. 12–14 GDPR). Betrokkenen hebben rechten op inzage, rectificatie, wissing, beperking en bezwaar (art. 15–22 GDPR).
  • Het bewaken van de integriteit en vertrouwelijkheid van persoonsgegevens vraagt om passende technische en organisatorische maatregelen (art. 32 GDPR), variërend van encryptie tot toegangsbeheer.

De (overkoepelende) verantwoordingsplicht wordt gematerialiseerd in documentatie die de verschillende elementen van de verwerking formaliseert: een register van verwerkingsactiviteiten (art. 30 GDPR), DPIA’s voor bepaalde verwerkingen (art. 35 GDPR), sluitende verwerkersovereenkomsten (art. 28 GDPR), afspraken tussen gezamenlijke verantwoordelijken (art. 26 GDPR), en passende waarborgen voor doorgiften van persoonsgegevens buiten de EER, zoals standaardcontractbepalingen (art. 44–49 GDPR).

Audit als hefboom: een praktische checklist voor lokale besturen

Een korte, gerichte audit maakt de naleving zichtbaar en bestuurbaar. Gebruik Data Privacy Day als momentopname om te controleren of cruciale GDPR-documentatie volledig, actueel en aantoonbaar wordt gebruikt in processen en systemen.

  • Register van verwerkingsactiviteiten.Is het register volledig, up-to-date en gekoppeld aan processen, systemen en bewaartermijnen?
  • Zijn actuele versies voor burgers en medewerkers makkelijk vindbaar, met duidelijke versiedata?
  • Procedures voor rechtenverzoeken. Zijn werkinstructies, intakeformulieren, templates voor besluitvorming met respect voor termijnen aanwezig?
  • Verwerkersovereenkomsten en due‑diligence. werd met elke verwerker een verwerkersovereenkomst gesloten, is er zicht op de subverwerkerslijsten en zijn audits doorlopen?
  • DPIA‑register en opvolging.Is er een overzicht van uitgevoerde DPIA’s, besluitvorming over mitigerende maatregelen en bewijs van implementatie en herbeoordeling?
  • Cookie‑ en trackingdossier. Zijn cookiebeleid, consent‑logging, configuraties van banners conform en up-to-date?
  • Governance en DPO. Zijn de positie, onafhankelijkheid en middelen van de FG/DPO vastgelegd?
  • Inkoop- en contracttemplates. Bevatten aanbestedingsdocumenten privacy‑eisen, DPIA‑ondersteuning, doorgifte‑clausules, exit‑ en datamigratieregelingen?

Deze auditlijst is geen papieroefening: ze operationaliseert de verantwoordingsplicht en vormt de basis voor een prioriteitenplan door bestuur en management, samen met de DPO.

AI in de overheid: nieuwe risico’s, dezelfde grondrechten

Kunstmatige intelligentie biedt kansen voor dienstverlening, efficiëntie en beleidsontwikkeling, maar vergroot tegelijkertijd bepaalde risico’s en bestaande privacyvraagstukken. Generatieve AI vergt bijzondere aandacht wanneer persoonsgegevens in prompts of uploads worden ingebracht: de GDPR blijft onverkort van toepassing op de volledige verwerkingscyclus, al wordt de toepassing complexer. Dit vraagt om strakke borging van doelbinding, dataminimalisatie en opslagbeperking, en om aantoonbare noodzaak van elke verwerkingsstap.

Een prudente basisregel: voer geen persoonsgegevens in publieke generatieve AI-tools in, tenzij aantoonbaar noodzakelijk voor een duidelijk omschreven doel, en documenteer die noodzaak. Kies waar mogelijk voor beheerde varianten met contractuele garanties (geen training op data, bewaartermijnen, datalocatie, passende beveiliging), verankerd in (verwerkers-)overeenkomsten en interne richtlijnen.

De moeilijke kernvraag: welke rechtsgrond voor verwerking van persoonsgegevens met AI?

Een moeilijke kernvraag voor overheden bij het toepassen van de GDPR in het tijdperk van AI is de vraag naar de meest geschikte rechtsgrond, wanneer er persoonsgegevens in het ‘AI-spel’ betrokken zijn.

Voor verwerkingen door lokale besturen is een beroep op het “gerechtvaardigd belang” (art. 6, lid 1, f) in de regel niet passend en in veel gevallen uitgesloten. De voor de hand liggende grondslag is de vervulling van een taak van algemeen belang of het uitoefenen van openbaar gezag (art. 6, lid 1, e), mits wettelijk verankerd en noodzakelijk. Generatieve AI als algemene productiviteitstool of “handige” ondersteuning zonder duidelijke wettelijke taakomschrijving laat zich dus niet eenvoudig onder art. 6, lid 1, e GDPR scharen, ter verantwoording.

Toestemming is in de publieke context dan weer zelden “vrijelijk gegeven” en meestal ongeschikt…

Leveranciers, doorgiften en operationele beheersmaatregelen

AI-implementaties brengen bijkomende leveranciers- en doorgifterisico’s mee: leg contractueel vast of de aanbieder ook optreedt als verwerker of (gezamenlijk) verwerkingsverantwoordelijke, verbied (indien mogelijk) training op uw gegevens, regel opslaglocaties en subverwerkers en beoordeel doorgiften buiten de EER inclusief passende waarborgen.

Combineer dit met operationele (beleids-)maatregelen (al dan niet organisatiebreed gedragen en verspreid via een performant AI-beleid): redactietools of pseudonimisering vóór input in AI-systemen, rolgebaseerde toegangscontrole, logging en retentiebeperking.

Zo blijft innovatie (met artificiële intelligentie) mogelijk binnen dezelfde grondrechten, met aantoonbare naleving van de GDPR

De GDPR staat nog steeds krachtig

Data Privacy Day is een uitstekend moment om bestuur, management en DPO rond de tafel te brengen, prioriteiten te herijken en concrete verbeteracties in te plannen. Denk aan het updaten van het register, het herijken van privacyverklaringen, het versterken van de verwerkersketen, het uitvoeren of herbeoordelen van DPIA’s, en het opstellen van duidelijke interne richtlijnen voor het gebruik van AI.

Zoals het adagium gaat: “Quod non est in actis, non est in mundo.” Wat niet aantoonbaar is gedocumenteerd, weegt beperkt in audits of toezicht. De GDPR is precies op dat punt zo krachtig: principes worden afdwingbaar via verantwoordingsplicht en toetsbare documentatie.

GD&A Advocaten: privacykracht die zorgt voor bestuurskracht

Sterk privacybeleid is een hefboom voor vertrouwen, legitimiteit en performantie. Door de basisbeginselen consequent toe te passen, documentatie op orde te houden en bewust te anticiperen op technologie – inclusief generatieve AI – worden (flagrante) inbreuken en sancties vermeden évenals ruimte gecreëerd voor verantwoorde innovatie. De boodschap van Data Privacy Day 2026 is helder: maak van privacy een strategisch programma, niet louter een juridische randvoorwaarde

Bij GD&A Advocaten begrijpen we als geen ander het belang van deze materie, en staan we dan ook klaar om hierbij pragmatisch te ondersteunen: GD&A zorgt voor performante GDPR‑audits, brengt GDPR-documentatie op orde en up-to-date, en maakt compliance aantoonbaar en kostenefficiënt.

Tevens adviseren we over de inzet van nieuwe technologieën (waaronder AI) binnen de kaders van de GDPR en staan we klaar met gedegen bijstand in het implementeren van juiste maatregelen in beleid, processen en contracten.

Auteur(s):

Sarah Fiorito en Wouter Rubens

Meer info? Contacteer

Wouter Rubens

t 015 40 49 40 of

wouter.rubens@gdena-advocaten.be

Leave a Reply

Share