Tijdens de Nationale Privacy Conferentie op 28 januari 2026 nam Wilmar Hendriks het publiek in twintig minuten mee in de complexe wereld van gegevensdeling binnen publieke samenwerkingsverbanden. Namens PONT | Data & Privacy spraken wij hem na afloop uitgebreid over zijn lezing, zijn visie op privacy en de lessen uit ruim 25 jaar praktijkervaring in het sociaal, zorg en veiligheidsdomein.
Hendriks is coördinerend Functionaris Gegevensbescherming (cFG) bij het Zorg- en Veiligheidshuis Rotterdam-Rijnmond en Founder van Control Privacy. Hij coördineert als cFG[1] veertig organisaties in het zorg- en veiligheidsdomein. Zijn benadering staat intussen bekend als “The bright side of privacy”: praktische samenwerking met respect voor de persoonlijke levenssfeer, die als combinatie het doel dienen.
Een van de kernpunten uit zijn lezing – en ook uit ons gesprek – is het onderscheid tussen privacy als grondrecht en de AVG als juridisch kader.
“Het woord privacy komt in de AVG geen enkele keer voor,” benadrukt Hendriks. “De AVG is dan ook geen verbodswet, maar biedt kader voor wanneer je met andermans persoonsgegevens aan de slag moet”. “Dus de AVG die verbiedt niks, verplicht niks. Behalve als je iemands persoonsgegevens gaat verwerken, dan heb je je aan deze regels te houden.”
Volgens Hendriks is het problematisch dat privacy vaak wordt geframed als belemmering of zelfs als politiek thema om voor of tegen te zijn. “Privacy gaat uitsluitend over het respecteren van de vrijheid van de ander.” Het is volgens hem dan ook simpelweg dom om privacy als politiek, laat staan links of rechts vraagstuk te benaderen.
In eenvoudige situaties – zoals het aanvragen van een parkeervergunning – is gegevensverwerking meestal vanzelfsprekend. Maar in complexe casuïstiek binnen het sociaal, zorg- en veiligheidsdomein, waar bijvoorbeeld politie, reclassering, GGZ, gemeenten en jeugdzorg moeten samenwerken, ontstaan soms lastige dilemma’s. Daar kan het wel of niet delen van informatie enorme impact hebben op iemands leven. Te weinig delen kan problematiek verergeren of het oplossen ervan belemmeren, te veel delen kan grote, soms onherstelbare schade veroorzaken.
In zijn lezing zoomde Hendriks in op samenwerkingsverbanden zoals de Zorg- en Veiligheidshuizen. Dit zijn geen zelfstandige rechtspersonen, maar samenwerkingen tussen organisaties die ieder hun eigen wettelijke verantwoordelijkheid behouden.
Hendriks onderscheidt drie elementen waar volgens hem in samenwerkingsverbanden vaak veel winst te behalen valt en waar hij het in de praktijk ook het vaakst ziet haperen.
1. Onderken de verschillen tussen organisaties
Allereerst wijst hij op de grote verschillen tussen de organisaties die samenwerken. Bij samenwerken geldt altijd dat de organisaties dat doen omdat dit noodzakelijk is om het bovenliggende, gezamenlijke doel te bereiken. Waarbij de eigen organisatie een of meer andere doelen centraal heeft staan, maar hier dus echt samenwerking vereist is, in een of andere rol.
In een Zorg- en Veiligheidshuis zitten professionals van politie, OM, reclassering, GGZ, gemeenten en soms woningcorporaties aan één tafel. Zij hebben verschillende wettelijke taken, met andere bevoegdheden en andere plichten, waaronder de kaderwetgeving zoals AVG, WPG of WJSG. Die verschillen zijn niet slechts organisatorisch, maar ook juridisch wezenlijk. Een politiefunctionaris kan bijvoorbeeld wettelijk verplicht zijn om op bepaalde informatie te handelen wanneer die wordt gedeeld, terwijl een hulpverlener juist gebonden kan zijn aan diens beroepsgeheim. En zelfs binnen een gemeente bestaan er twee verschillende bestuursorganen met eigen verantwoordelijkheden en ook tussen de honderden processen waarin daar persoonsgegevens worden verwerkt beperking over (her)gebruik daarvan
Dus er zijn grote verschillen per samenwerkende professional: zowel het doel en belang van hun eigen organisatie, hun wettelijke taken en bevoegdheden, de daarbij geldende kaders en codes én hun rol in de fasen van die samenwerking zijn vaak heel verschillend. Die diversiteit is te groot om bij samenwerking allemaal te overzien, dus moeten afspraken, procesinrichting, werkafspraken en borging daarvan door de samenwerkende organisaties heel goed geregeld worden. En dus niet als probleem van die professionals worden gezien, dan gaat het vanzelf mis.
Volgens Hendriks ontstaan veel problemen niet doordat mensen bewust regels overtreden, maar doordat zij onvoldoende begrijpen wat de ander wel of niet mág of móet doen, waarbij de eigen fase en hun rol en taak daarin niet altijd even scherp zijn. Niet omdat ze niet slim genoeg zijn, maar omdat de samenwerking zelf niet duidelijk genoeg is ingericht, wat echt noodzakelijk is. Wanneer iemand bijvoorbeeld in een casusoverleg informatie deelt zonder zich te realiseren dat een andere partij daar juridisch op moet acteren, kan dat verstrekkende gevolgen hebben — voor de betrokkene én voor het vertrouwen binnen de samenwerking.
Juist daarom pleit hij ervoor om die verschillen expliciet te maken en bij de inrichting van die samenwerking heel serieus te nemen. Weten waar precies in het proces jij als professional zit, met welke taak en in welke rol en vanuit welke de ander spreekt, voorkomt misverstanden en versterkt de samenwerking.
2. Faseer het proces van gegevensdeling
Een tweede punt dat hij uitvoerig toelicht, is het belang van fasering, waar mogelijk gestandaardiseerde fasering. Complexe casuïstiek verloopt vrijwel altijd in vaste stappen: er is een aanmelding, vervolgens een afweging of triage, daarna eventueel een casusoverleg waarin een plan van aanpak of afspraken over vervolg wordt gemaakt, gevolgd door uitvoering daarvan en uiteindelijk beëindiging van het samenwerkingsproces, bijvoorbeeld door overdracht. Elke fase kent een eigen subdoel, daarbij is andere informatie noodzakelijk. Bij aanmelding is vaak slechts beperkte informatie nodig om daarna te kunnen te bepalen of een zaak thuishoort in het samenwerkingsverband. Pas in een later stadium kan het noodzakelijk zijn om inhoudelijker gegevens te verzamelen of delen om tot de best passende aanpak te komen. En alleen de deelnemers die er zelf mee aan de slag moeten hoeven inhoudelijke informatie te verwerken, de rest meestal niet; ook niet wanneer hun bijdrage noodzakelijk was om zover te komen.
In de praktijk ziet Hendriks het gebeuren dat die fasering onvoldoende wordt gehanteerd. Informatie die eigenlijk pas in een latere fase relevant is, wordt soms al in een vroeg stadium gedeeld. Omgekeerd wordt informatie uit een casusoverleg breder verspreid of langer bewaard dan noodzakelijk. Door niet scherp te onderscheiden in welke fase men zich bevindt, ontstaat het risico dat er te veel wordt gedeeld — met alle privacyrisico’s van dien — of juist te weinig, waardoor interventies tekortschieten. Heldere fasering helpt om per stap te bepalen wat minimaal noodzakelijk is en wie daarvoor verantwoordelijk is. En dat moet je helder vastleggen en inrichten. Dat beschrijven in fasen is geen extra ‘papier maken’, maar het helpt. Die je dit niet, dan ontstaat voor toezichthouders zoals FG’s, de betrokkenen zelf of NGO’s het beeld dat er enorm veel gegevens met heel veel partijen worden gedeeld. Terwijl die fasering dat heel duidelijk beperkt, voor. De uitvoerende professionals zelf, maar ook voor de mensen om wie het echt gaat. Dat maakt gegevensdeling niet alleen zorgvuldiger, maar ook overzichtelijker en beter uitlegbaar. Zelfs wanneer de betrokkene het helemaal niet fijn vindt dat hij of zij daar besproken wordt.
3. Standaardiseer definities en processen
Als derde herkenbaar verbeterpunt benadrukt Hendriks het belang van standaardisering. In samenwerkingsverbanden wordt vaak met dezelfde woorden gewerkt, terwijl die in de praktijk iets anders kunnen betekenen. Een begrip als ‘adres’ kan bijvoorbeeld slaan op het adres in de Basisregistratie Personen, op de feitelijke verblijfplaats of op een tijdelijk opvangadres. Dat verschil is juridisch en praktisch relevant, bijvoorbeeld wanneer moet worden bepaald welke gemeente verantwoordelijk is voor de uitvoering van de wettelijke taak en financiering daarvan. Hetzelfde geldt voor termen als ‘jongere’ of ‘jeugd’, waarvoor verschillende wetgevingen, verordeningen en beleidsafspraken talrijke, uiteenlopende leeftijdsgrenzen hanteren.
Zonder gedeelde definities ontstaat verwarring en worden cijfers en resultaten moeilijk vergelijkbaar. Volgens Hendriks belemmert dat niet alleen de dagelijkse samenwerking, maar ook de mogelijkheid om te leren uit monitoring en beleidsontwikkeling. Zeker in een tijd waarin het sociaal domein zoveel geld kost en tegelijk onder politiek-financiële druk staat, is het noodzakelijk dat feiten beschikbaar en vergelijkbaar zijn, zodat beleid wordt gebaseerd op betrouwbare informatie. Dus ook standaardisering is geen bureaucratische verplichting, maar een voorwaarde voor op feiten gebaseerd leren en daarop gebaseerde (be)sturing.
Een ander belangrijk thema in Hendriks’ verhaal is de versnelling in ontwikkeling van Privacy Enhancing Technologies (PET’s). Deze technieken maken het mogelijk om signalen en persoonsgegevens te delen en verwerken zonder dat persoonsgegevens herleidbaar zijn.
Hij beschrijft onder meer toepassingen waarbij verschillende instanties signalen kunnen afgeven die pas tot een concrete interventie kunnen leiden als een specifieke drempel wordt bereikt en alle zicht op de onderliggende persoonsgegevens tot dat moment technisch onmogelijk is. Dat verkleint de kans op onrechtmatig inzicht op ‘de rest’ tot ongeveer nul, wat bijvoorbeeld massasurveillance structureel voorkomt.
Hendriks benadrukt dat techniek de wet nooit verandert, maar wel dat het grote impact kan hebben op de afwegingen die de wetgeving eist. Ook blijft gelden dat besluitvorming op basis van signalen nog steeds zorgvuldige afweging vereist die uitgelegd kan worden. Net zoals altijd een vooraf ontworpen en geteste ‘noodrem’ hoort te bestaan, die de gevolgen van een fout signaal of besluit voor betrokkenen minimaliseert. Maar deze vereiste zorgvuldigheid is niet nieuw, wel de techniek die nieuwe mogelijkheden biedt, die bovendien snel ontwikkelt en daarmee ook relatief snel veroudert. Dus dat vraagt ook inzicht en kennis, dus tijd en aandacht.
Wanneer de diversiteit aan PET technologie goed wordt ingezet, kan zij volgens Hendriks zowel de privacy in bestaande processen veel beter beschermen, als nieuwe mogelijkheden in samenwerking mogelijk[ maken. En dit geldt veel breder dan alleen het sociaal, zorg- en veiligheidsdomein. Wel is hier volgens hem nog veel terrein te winnen aan kennis en inzicht bij zowel de verantwoordelijke uitvoerders, de inrichters van samenwerking én de toezichthouders. Angst voor nieuwe benaderingen die oude dilemma’s kunnen doorbreken moet plaatsmaken voor actief gestuurde, gecontroleerde innovatie. En daarin heeft Nederland heel veel te bieden, kijk gerust naar de genomineerden voor en winnaars van de Nederlandse Privacy Awards van dit en voorgaande jaren. Waarvoor hij zich ook actief inzet.
In ons gesprek vroegen wij Hendriks ook naar de privacyvolwassenheid in Nederland. Zijn antwoord is genuanceerd. Gemiddeld doet Nederland het niet slecht, maar de verschillen zijn groot. Er zijn samenwerkingsverbanden die hun zaken uitstekend op orde hebben, en er zijn er waar de basis nog op orde moet komen.
De grootste verandering in de afgelopen decennia ziet hij niet zozeer in de wetgeving zelf, maar in het toezicht, het toenemend maatschappelijk bewustzijn en recenter ook de PET als nieuw gereedschap. Datalekken, geopolitieke spanningen en digitale dreigingen hebben duidelijk gemaakt dat persoonsgegevens kwetsbaar zijn en misbruikt kunnen en zúllen worden. Het idee dat men “niets te verbergen” heeft, is volgens hem ontzettend naïef. Waar bijvoorbeeld camera’s ongemerkt gezichtsuitdrukkingen analyseren en vastleggen wat je écht denkt van iets wat je ziet of hoort, moet een beetje nadenkend mens zich afvragen waartoe dat kan leiden — zowel voor individuen als voor organisaties, commercieel of overheid en zelfs voor de nationale veiligheid.
Als docent van onder meer de training ‘Privacyaspecten bij gegevensdeling in publieke samenwerkingsverbanden’ wil Hendriks vooral praktische handvatten meegeven. Veel cursisten vervullen een adviserende of toezichthoudende rol en worstelen met het imago van degene die “altijd zo moeilijk doet over privacy”.
Zijn boodschap is concreet en pragmatisch: begin klein, maak zichtbaar en voelbaar wat het oplevert. Een voorbeeld: Minder gegevens verwerken betekent niet alleen minder risico’s, maar ook minder werk administratie, minder om uit te zoeken bij een inzageverzoek en discussies die daaruit volgen, en meer focus op wat werkelijk nodig is. Dat werkt echt in de praktijk, omdat het echt minder werk oplevert en daarmee het iets bewuster afwegen de moeite waard maakt.
Het gaat hem daarbij niet om eindeloze discussies over formuleringen of om het steeds verder dichttimmeren van afspraken op papier. In het interview waarschuwt hij ervoor dat organisaties veel tijd en geld kunnen steken in juridische interpretaties, terwijl dat in de praktijk soms alleen maar belemmeringen oplevert voor betrokkenen of professionals. In zijn eigen woorden: “Maar je hebt aan geen donder aan als maatschappij. Dus maak eigen keuzes als bestuurder en leg bij je uitvoerders niet de óf-vraag, maar alleen de hóe-vraag neer.”
Daarmee bedoelt hij vooral dat organisaties niet moeten blijven hangen in het verplaatsen van komma’s of het inhuren van steeds meer externe experts en juristen om ieder risico uit te sluiten. Besteed je tijd en moeite vooral aan zorgvuldige inrichting van je samenwerkingsproces om je doel te bereiken; uiteindelijk draait het erom dat samenwerking beter werkt en dat inwoners daadwerkelijk geholpen worden. Privacy moet daarbij geen blokkade zijn, maar een richtinggevend principe om zorgvuldig en doelgericht te handelen. Als het ingrijpend is, begin dan klein, maar laat angst niet regeren, wel de control.
En precies daarin, zo blijkt uit zowel zijn lezing als ons gesprek, ziet Hendriks zijn “bright side” van privacy: het kan vaak wél en het kan ook nog eens heel goed helpen.
[1] cFG met een kleine c, om verwarring met de term ‘Chief’ te voorkomen, die een andere rol suggereert.
