Hoe je een AVG-verzoek kunt doen, verschilt per gemeente. Op de website van de ene gemeente staat dat je een e-mail of brief moet sturen en een andere gemeente stuurt je door naar een digitaal formulier. Het merendeel verplicht je eerst in te loggen met DigiD voor je een AVG-verzoek kunt doen. Maar is het verplicht gebruiken van DigiD eigenlijk wel toegestaan? Wat mij betreft is dat een no-go en daar gaat deze blog over. Dus gemeenten: let op!
Aanleiding
Twee rechtszaken trokken mijn aandacht. In beide zaken stelden de organisaties volgens de rechter te zware eisen voor het indienen van een verzoek voor het inzien van gegevens.
Bij DPG Media moesten abonnees die geen gebruik maakten van de inlogomgeving standaard vooraf een kopie van hun ID inleveren voor een AVG‑inzageverzoek. De rechter vond dat disproportioneel en in strijd met de AVG (ECLI:NL:RBAMS:2023:5074 en ECLI:NL:RVS:2025:4562).
In de gemeente Apeldoorn (ECLI:NL:RBGEL:2025:6777) ging het om een verzoek op grond van de Wet open overheid (Woo). Inwoners konden een Woo‑verzoek uitsluitend per brief of via een e-formulier indienen. Dat e-formulier was alleen toegankelijk via DigiD. Dat was volgens de rechter ook een onevenredige drempel.
Hoewel een Woo-verzoek en een AVG-verzoek inhoudelijk van elkaar verschillen, vertegenwoordigen beiden een belangrijk recht om informatie op te vragen of in te zien. De toegankelijkheid bepaalt in belangrijke mate of inwoners daar daadwerkelijk gebruik van maken.
Een AVG-verzoek doen: vormvrij
Centraal is deze blog staat het AVG-verzoek. Het verschilt nogal per gemeente hoe je een AVG-verzoek kunt doen. Dat is te verklaren: de AVG schrijft voor dat een inwoner zijn rechten moet kunnen uitvoeren, maar niet hoe dat moet. Het is dus vormvrij. Indienen kan bijvoorbeeld via e-mail, een contactformulier of via de telefoon.
Wel legt de AVG de gemeente verplichtingen op. Zij moet bijvoorbeeld zeker weten dat de verzoeker is wie hij zegt te zijn. En ze moet de verzoeker faciliteren bij het uitoefenen van zijn AVG-rechten.
Ben je wie je zegt dat je bent?
AVG-rechten zijn persoonlijke rechten: alleen jij kunt je eigen persoonsgegevens opvragen.
Om dat te waarborgen verplicht de AVG de gemeente te controleren dat degene die om persoonsgegevens vraagt ook echt de persoon van de persoonsgegevens is (overweging 64 en art. 12 AVG). De AVG spreekt over ‘betrokkene’. Een betrokkene is een identificeerbare natuurlijke persoon (art. 1 AVG). De gemeente moet met passende mate van zekerheid (art. 32 AVG) op een zo min mogelijk ingrijpende manier vaststellen wat de identiteit van de betrokkene is. Als er een reden is om te twijfelen aan de identiteit, mag de gemeente aanvullende informatie van de inwoner vragen (art. 12 lid 6 AVG).
DigiDentiteit?
Op websites van gemeenten staat allerlei informatie voor de inwoner voor het doen van een AVG-verzoek. Ook dat de inwoner zich moet identificeren of legitimeren bij dergelijke verzoeken, door het meesturen van een kopie legitimatiebewijs, langskomen op het gemeentehuis of inloggen met DigiD.
DigiD staat voor digitale identificatie. Het is voor gemeenten een mogelijkheid om te controleren wie je online voor je hebt. Een rondje langs de digitale velden bij verschillende gemeenten levert op, dat het eerder regel dan uitzondering is dat al vóór je een digitaal AVG-verzoek doet, je eerst verplicht moet inloggen met DigiD.
Op een zo min mogelijk ingrijpende wijze
Een (kopie)identiteitsbewijs, een bezoek aan het gemeentehuis of DigiD is echter lang niet altijd nodig om met passende mate van zekerheid de identiteit van betrokkene vast te stellen. Hoe de gemeente controleert of de verzoeker de betrokkene is, kan op verschillende, minder ingrijpende manieren. Denk bijvoorbeeld aan het controleren van al bekende gegevens in systemen zoals BRP of een bijstandsdossier.
Wat zo min mogelijk ingrijpend is, verschilt per inwoner. Zo kan een verplicht bezoek aan het gemeentehuis onredelijk zijn (ECLI:NL:RVS:2020:2915). Alle inwoners die bij de betreffende gemeente een AVG-verzoek doen voor het wissen van persoonsgegevens, moesten zich op het gemeentehuis identificeren. De inwoner had echter bij zijn verzoek onder andere al een kopie van een gewaarmerkte kopie van zijn paspoort meegestuurd. De gemeente mag daarmee de identiteit vaststellen. Ook twijfelde het college niet aan wie ze voor zich hadden. Toch moest hij langskomen. De Raad oordeelt dat er geen reden was aanvullende eisen te stellen. En er waren minder belastende manieren om de identiteit vast te stellen, zoals met de kopie. De verplichting om alsnog langs te komen was dan ook onredelijk volgens de Raad.
Ook kan het juist nodig zijn om meer informatie op te vragen. Bijvoorbeeld als de inwoner alleen zijn voorletters en naam heeft vermeld en weigert verdere informatie te geven waarmee identificatie kan worden vastgesteld (ECLI:NL:RBOVE:2021:1296).
Uitoefenen van AVG-rechten faciliteren
Naast het vaststellen van de identiteit moeten gemeenten het uitoefenen van AVG-rechten faciliteren (art. 12 lid 2 AVG). Volgens de AVG moet dat eenvoudig toegankelijk, begrijpelijk en in duidelijke en eenvoudige taal. Het is immers een heel belangrijk (persoonlijk) recht waar je gebruik van moet kunnen maken. Een gemeente moet er dus voor zorgen dat een inwoner zonder drempels een AVG-verzoek kan doen.
Interessant vind ik hierbij de vraag hoe het zo laagdrempelig mogelijk faciliteren van het uitoefenen van je AVG-rechten zich verhoudt tot het verplicht identificeren via DigiD bij het doen van een AVG-verzoek.
Onnodige drempels
De gemeente moet ervoor zorgen dat een inwoner eenvoudig een AVG-verzoek kan doen. Zonder onnodige drempels.
Stel je wilt een verzoek doen om je AVG-rechten uit te oefenen, maar je kan dat verzoek niet eerder invullen, doen of versturen dan nadat je eerst hebt ingelogd met je DigiD. Is dat een drempel? En zo ja, is deze drempel proportioneel ten opzichte van het te bereiken doel, het zeker weten dat deze persoon recht heeft op de opgevraagde gegevens?
Het verplichten van een DigiD is mijns inziens een onnodige drempel. Er kunnen immers allerlei (praktische) redenen zijn waarom iemand geen gebruik van DigiD kan of wil maken. Denk aan het niet hebben van een DigiD of inloggegevens, het niet willen, niet kunnen of het digitale überhaupt een te grote stap vinden. Bovendien is voor het vaststellen van de identiteit een verplichte controle met DigiD ook niet nodig: dat kan op andere, minder ingrijpende manieren.
Gemeenten: verplicht DigiD niet bij AVG-verzoeken
Dit betekent voor gemeenten dat de verplichte DigiD-drempel bij AVG-verzoeken weg moet. Het uitoefenen van de AVG-rechten moet gefaciliteerd, niet geblokkeerd worden. Het gemak van DigiD voor een gemeente mag niet voor gaan op het uitoefenen van het persoonlijke AVG-recht van de inwoner.
Denk vanuit de inwoner: zorg aan de voorkant voor een zo open mogelijke toegang. En stroomlijn aan de achterkant dat het verzoek direct bij de juiste werknemer(s) in de organisatie terecht komt. Controleer de identiteit van betrokkene en begin met de minst ingrijpende controlemogelijkheden, zoals het raadplegen van systemen of dossiers. Bij twijfel? Bel de inwoner en overleg wat verder nodig is en waarom.
Is inloggen met DigiD dan helemaal taboe? Nee hoor. Het is een kwestie van anders inrichten. DigiD als keuze om te controleren wie de inwoner zegt dat hij is, mag gewoon. Het is dan aan de inwoner voor deze optie te kiezen.
