Veel gemeenten gebruiken het Three Lines of Defence-model (3LoD). Dit raamwerk maakt duidelijk hoe de verantwoordelijkheden voor de bescherming van persoonsgegevens zijn georganiseerd. In dit model is het lijnmanagement de eerste lijn. Zij zijn verantwoordelijk voor de uitvoering van processen en de naleving van wet- en regelgeving, waaronder de AVG en mogelijk sectorale wetgeving, binnen hun team.

De tweede lijn, waarin onder andere de Privacy Officer en CISO opereren, heeft een ondersteunende, adviserende en coördinerende rol. De Privacy Officer zorgt voor een centraal overzicht van de naleving van privacywet- en regelgeving binnen alle organisatieonderdelen en bestuursorganen van de gemeente. Hij of zij adviseert het lijnmanagement en monitort de uitvoering van het privacybeleid. De Chief Information Security Officer (CISO) fungeert als aanspreekpunt en ontwikkelt een samenhangend pakket aan maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen.

De derde lijn, de FG beoordeelt onafhankelijk of het samenspel tussen de eerste en tweede lijn effectief functioneert. De FG heeft een toezichthoudende rol en velt een objectief oordeel over de naleving van de privacywetgeving binnen de organisatie. Daarnaast doet de FG aanbevelingen voor verbetering.

Sommige gemeenten hebben naast deze rollen ook zogenaamde privacyambassadeurs. Dit zijn medewerkers binnen specifieke afdelingen, bijvoorbeeld het Sociaal Domein of Burgerzaken, die fungeren als eerste aanspreekpunt voor privacyvraagstukken binnen hun team. De privacyambassadeur vergroot het bewustzijn van collega’s over privacyrisico’s, signaleert knelpunten in de dagelijkse werkpraktijk en onderhoudt de verbinding tussen de afdelingen en de centrale privacyorganisatie.

Tot slot houdt de AP extern toezicht op de naleving van de AVG door gemeenten. Zij kan handhavend optreden, bijvoorbeeld door het opleggen van maatregelen of boetes.

Praktijkvoorbeeld: geïntensiveerd toezicht door de AP op Gemeente Eindhoven

De AP stelde de gemeente Eindhoven op 1 maart 2023 onder verscherpt toezicht vanwege meerdere zorgelijke signalen op het gebied van gegevensbescherming. Er was sprake van datalekken die niet of niet tijdig werden gemeld, persoonsgegevens die structureel te lang werden bewaard en verwerkingen van gegevens zonder voorafgaande risico-analyse (DPIA). Ook was er sprake van geen goede positionering en rol van de FG en schoot de governance en organisatiecultuur tekort. Als gevolg van het geïntensiveerde toezicht werd de burgemeester en de verantwoordelijke wethouder uitgenodigd voor een gesprek bij de AP. De gemeente werd verplicht een verbeterplan op te stellen en maatregelen te nemen. Enkele van de genomen maatregelen waren onder meer: het vastleggen van een protocol voor de omgang met datalekken en het formaliseren van de rol en positie van de FG. Als laatste werd het privacybeleid geactualiseerd en werden de bewaartermijnen en DPIA-procedures aangescherpt.

Het geïntensiveerd toezicht is per 13 oktober 2025 beëindigd, onder de voorwaarde dat de gemeente blijvend toetsen laat uitvoeren en de naleving door een externe partij laat valideren.