{"id":20149,"date":"2026-04-29T16:20:06","date_gmt":"2026-04-29T14:20:06","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=20149"},"modified":"2026-04-29T16:20:06","modified_gmt":"2026-04-29T14:20:06","slug":"masterclass-gdpr-voor-overheden-van-de-gba-in-de-zaak-van-de-dilbeekse-anpr","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/nl\/masterclass-gdpr-voor-overheden-van-de-gba-in-de-zaak-van-de-dilbeekse-anpr\/","title":{"rendered":"Masterclass \u201cGDPR voor overheden\u201d van de GBA in de Zaak van de Dilbeekse ANPR"},"content":{"rendered":"

De Gemeente Dilbeek mocht zich melden bij de Geschillenkamer (GK)<\/a> van de Gegevensbeschermingsautoriteit (GBA) in verband met hun \u201cMinder verkeer, beter wonen<\/a>\u201d project. In de basis een zaak over mobiliteit en ANPR camera\u2019s, maar de GBA heeft van de gelegenheid gebruik gemaakt om er een kleine masterclass \u201cGDPR voor overheden\u201d van te maken met aandacht voor de rechtsgrond algemeen belang, het noodzakelijkheidscriterium, de zogeheten essentiele elementen, machtigingen tot toegang van het Rijksregister en de DIV, de uitvoering van DPIA\u2019s en n\u00f2g meer.<\/p>\n

We overlopen de relevante elementen en wagen ons daarmee alvast aan een beperkte analyse van een uitspraak die ongetwijfeld met veel detail zal terugkomen in onze Stay Tuned Overheid sessie in het najaar van 2026.<\/p>\n

\n

De context<\/strong><\/h2>\n

In december 2021 besluit de gemeente Dilbeek het sluitverkeer in bepaalde straten een halt toe te roepen door een doorgangsverbod in te voeren voor bepaalde straten en binnen bepaalde tijden. Artikel 4 in het gemeentereglement bepaalt het principe. Hoe handhaaf je zo\u2019n verbod? Met vergunningen en ANPR camera\u2019s natuurlijk! Wanneer een niet-vergunningshouder binnen de gezette tijden toch door de straten rijdt, wordt er automatisch een overtreding geregistreerd door de gekoppelde software. Vergunninghouders zijn bewoners en handelaars, bezoekers van voorgaande, gemeentediensten en zorgverleners, en dergelijke meer.<\/p>\n

Het doel van de verwerking wordt in het gemeentereglement omschreven als \u201chet doorgaand verkeer op bepaalde wegen met een toegangsverbod beperken\u201d en in de opgestelde DPIA\/GEB spreekt men over \u201chandhaving van sluipverkeer\u201d. Om dit alles mogelijk te maken worden er uiteraard persoonsgegevens verwerkt: naam, adres, RRN, kentekenplaat, en in sommige gevallen beeldopnames, RIZIV nummers, werkgever van betrokkenen, kopie kentekenbewijs, en een historiek van bezoekers met kenteken.<\/p>\n

De klager is iemand die vanwege deze opzet niet meer in de wijk wilde komen omdat men de verwerking onrechtmatig vond en weigerde de gegevens te laten verwerken. De Eerstelijnsdienst volgde het principe dat we al kennen uit de zaak met de drankenhandel en de eID kaart<\/a> die uiteindelijk in Cassatie werd beslecht: door een weigering om persoonsgegevens (mogelijk) onrechtmatig te laten verwerken ervaart de betrokkene nadelen, en dat geeft voldoende recht om een klacht in te dienen.<\/p>\n

De rechtsgrond algemeen belang en essenti\u00eble elementen<\/strong><\/h2>\n

Het laat zich raden dat de gemeente zich beroept op de rechtsgrond \u201calgemeen belang\u201d. \u00a0Men verwijst hierbij naar het decreet Lokaal Bestuur, en de Nieuwe Gemeentewet. Mooi, zegt de GK, maar waar zijn de zogenaamde \u201cessenti\u00eble elementen\u201d dan juist benoemd? De essenti\u00eble elementen zijn de onderdelen die moeten voorkomen in de relevante wetgeving waar de verwerkingsverantwoordelijke (VV) zich op beroept in het kader van de rechtsgrond algemeen belang, en die moet minstens de volgende elementen bevatten:<\/p>\n

    \n
  1. de identiteit van de verwerkingsverantwoordelijke;<\/li>\n
  2. de categorie\u00ebn van verwerkte gegevens, met dien verstand dat deze in overeenstemming moeten zijn met artikel 5.1 van de AVG, \u201ctoereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt\u201d;<\/li>\n
  3. de categorie\u00ebn betrokkenen van wie de gegevens zullen worden verwerkt;<\/li>\n
  4. de bewaartermijn van de gegevens;<\/li>\n
  5. de ontvangers of categorie\u00ebn ontvangers aan wie hun gegevens worden meegedeeld;<\/li>\n
  6. de omstandigheden waarin en de redenen waarvoor ze zullen worden meegedeelden;<\/li>\n
  7. de eventuele beperking van de verplichtingen en\/of rechten vermeld in de artikelen 5, 12 tot en met 22 en 34 van de AVG<\/li>\n<\/ol>\n

    Het zal de lezer niet verbazen dat deze elementen niet waren voorzien in de door de gemeente genoemde wetgeving. De afgelopen jaren vinden we deze essenti\u00eble elementen steeds vaker w\u00e9l terug in nieuwe wetgeving, maar vaak ook niet. Als dat laatste het geval is, dan moet de VV zelf beoordelen of noodzakelijkheid van de verwerking wel voldoende is afgewogen ten opzichte van de belangen van de betrokkenen en dit ook documenteren. Dat had de gemeente hier niet gedaan, en de GK stelt dus een overtreding vast ten aanzien van het ontbreken van een rechtmatige rechtsgrond voor de verwerking.<\/p>\n

    Minimale gegevensverwerking en data protection by design<\/strong><\/h2>\n

    Dan komt de GK aan bij het principe van minimale gegevensverwerking. De klager voert aan dat ANPR camera\u2019s een kanon zijn om te schieten op een mug (parafrasering): voor veel minder geld kan men borden plaatsen en tijdelijk wat intensiever controleren en met de huidige opzet verhuist het sluipverkeer gewoon naar andere wijken. De gemeente haalt aan dat zij wel degelijk naar alternatieven heeft gekeken maar dat niets effectief of haalbaar leek.<\/p>\n

    De GK stelt vast dat de gemeente enkel vanuit verkeerskundig oogpunt heeft gekeken naar alternatieven, niet vanuit het oogpunt van gegevensbescherming. Met andere woorden, misschien dat ANPR camera\u2019s en het systeem er omheen voor het oplossen van sluipverkeer wel een effectieve verkeersoplossing is, maar is dat ook zo als men de inbreuken op fundamentele rechten meeneemt? Die gedocumenteerde afweging kon opnieuw niet worden overlegd, en de GK stelt een overtreding vast ten aanzien van art 5.1.c (minimale verwerking) en artikel 25 (data protection by design).<\/p>\n

    Dat laatste breidt de GK nog wat uit in de beslissing, want er zijn nog aanvullende elementen die de overtreding onderbouwen:<\/p>\n