Gemeenten zijn wettelijk verplicht een actueel overzicht bij te houden van alle verwerkingen van persoonsgegevens. Dit zogenaamde verwerkingsregister moet inzicht geven in welke gegevens worden verzameld, waarom, en wie er toegang toe heeft. Ook moeten gemeenten vooraf risicoanalyses uitvoeren bij nieuwe of gevoelige gegevensverwerkingen, om de privacy van burgers te waarborgen.

"Deze zaken op orde hebben, vormt de basis voor een correcte omgang met persoonsgegevens. Daar hebben inwoners recht op," aldus de AP. De toezichthouder benadrukt dat het gaat om fundamentele zaken die de rechtsbescherming en privacy van burgers raken.

Naast de technische en administratieve aspecten kijkt de AP ook naar de rol van de functionaris gegevensbescherming (FG). Deze interne toezichthouder moet gemeenten scherp houden op naleving van de privacyregels. Volgens de AP is dit toezicht vaak onvoldoende geregeld of krijgt het onvoldoende prioriteit. Vicevoorzitter Monique Verdier legt uit: "Het uiteindelijke doel van deze toezichtsbezoeken is de bescherming en vrijheid van mensen. De AP is er niet op uit om gemeenten te bestraffen. Liever helpen we ze op weg."