AP-advies gepubliceerd 11 maart 2026: De Autoriteit Persoonsgegevens heeft het wetsvoorstel Wet gegevensvergaring openbare orde beoordeeld en acht het onvoldoende. Zonder duidelijke afbakening kan de politie in theorie het gehele internet ophalen, inclusief gevoelige gegevens van onschuldige burgers, aldus AP-voorzitter Aleid Wolfsen.
Er zijn twee manieren om naar politiesurveillance te kijken. De eerste is instrumenteel: als de overheid verantwoordelijk is voor de openbare orde, moet ze ook de middelen hebben om verstoringen voor te zijn. De tweede is constitutioneel: in een rechtsstaat zijn overheidsbevoegdheden begrensd, juist omdat ze kunnen worden misbruikt. Het wetsvoorstel Wet gegevensvergaring openbare orde test waar die grens ligt. De Autoriteit Persoonsgegevens heeft die test beantwoord met ernstige bezwaren.
De AP beoordeelde het wetsvoorstel op 4 februari 2026. Het advies werd op 11 maart 2026 gepubliceerd. De kern van de kritiek: het voorstel biedt de politie brede bevoegdheden om geautomatiseerd online gegevens te verzamelen over burgers, ook als er geen concrete verdenking van een strafbaar feit bestaat, maar laat cruciale begrenzingen onduidelijk.
Wat het wetsvoorstel beoogt
Het kabinet wil de politie in staat stellen om potentiële openbare-ordeverstoringen vroegtijdig te detecteren door online gegevens over burgers automatisch te verzamelen. Een van de voorbeelden in de toelichting is of iemand van plan is deel te nemen aan een demonstratie. Naast het geautomatiseerd ophalen van data zou de politie ook de mogelijkheid krijgen om iemand online te volgen.
Voor het uitoefenen van deze bevoegdheden is rechterlijke toestemming vereist. Dat is een procedurele waarborg, maar een waarborg is slechts zo sterk als de criteria waarop hij gebaseerd is. En precies die criteria zijn in het wetsvoorstel niet helder uitgewerkt.
AP-voorzitter Aleid Wolfsen verwoordde de kern van het bezwaar direct: "Dit voorstel opent de deur te wijd voor grootschalige en ongefocuste online monitoring van burgers. Zonder duidelijke afbakening kan de politie in theorie het gehele internet ophalen, inclusief gevoelige gegevens van onschuldige burgers."
Vier ontbrekende grenzen
Het wetsvoorstel laat op vier fundamentele punten onduidelijkheid bestaan. Ten eerste specificeert het niet welke online bronnen doorzocht mogen worden. Dat betekent dat geautomatiseerde crawlers potentieel van de ene website naar de volgende kunnen springen, via hyperlinks steeds verder het web intrekken en zo een systematisch profiel opbouwen van een persoon of een groep. Ten tweede is niet bepaald welke technische systemen de politie mag inzetten, wat de vraag openlaat of geavanceerde AI-analysetools hieronder vallen en onder welke voorwaarden. Ten derde ontbreekt een tijdsgrens: hoe ver terug mag de politie kijken? Digitale data is vaak jarenlang beschikbaar en een profiel opgebouwd over tien jaar is fundamenteel anders dan een gerichte actuele zoekactie. Ten vierde is niet vastgelegd hoe beperkt een zoekopdracht moet zijn, waardoor het risico bestaat dat crawlers systematisch meer ophalen dan beoogd en zo surveillance creëren van specifieke groepen zonder concrete aanleiding.
De combinatie van die vier leemtes is niet neutraal. Ze creëert de mogelijkheid van wat de AP beschrijft als systematische surveillance van individuen en groepen die niets concreets op hun geweten hebben, aangedreven niet door een bewuste beleidskeuze maar door de onbegrensde werking van geautomatiseerde scraping- en crawlsystemen.
De AI Act dimensie
Voor compliance-professionals en juristen is de AI-dimensie van dit wetsvoorstel minstens zo relevant als de privacydimensie. Het gaat hier niet om het handmatig ophalen van informatie door een rechercheur, maar om geautomatiseerde systemen die online gedrag analyseren en op basis daarvan voorspellingen doen over toekomstig gedrag van mensen. Dat is precies het type systeem dat de EU AI Act als bijzonder risicovol aanmerkt.
Bijlage III van de AI-verordening noemt als hoog-risico categorie expliciet AI-systemen die worden ingezet door politie en handhavingsinstanties voor het inschatten van risico's, het opstellen van profielen of het beoordelen van personen in de context van openbare veiligheid. Een systeem dat beoordeelt of iemand van plan is deel te nemen aan een demonstratie, valt rechtstreeks in die categorie.
Hoog-risico AI-systemen moeten aan aanzienlijke vereisten voldoen: grondige risicoanalyse, technische documentatie, nauwkeurigheidsvereisten, menselijk toezicht en transparantie. Maar er is ook een fundamentelere vraag. Artikel 5 van de AI Act verbiedt een aantal AI-praktijken categorisch, waaronder systemen die sociale scoring uitvoeren, dat wil zeggen het evalueren of classificeren van personen op basis van sociaal gedrag over een langere periode. De grens tussen een systeem dat iemands online aanwezigheid modelleert om te voorspellen of die persoon zal deelnemen aan een demonstratie, en een verboden sociale scoringssysteem, is juridisch dunner dan de opstellers van het wetsvoorstel lijken te veronderstellen. Die vraag verdient een grondige juridische analyse voordat zulke bevoegdheden in wet worden gegoten.
De AI Act voorziet bovendien in vereisten voor grondrechteneffectbeoordeling bij publieke instellingen die hoog-risico AI inzetten. Een wetsvoorstel dat de politie bevoegdheden geeft om geautomatiseerde surveillancetechnologie te gebruiken, is precies het type kader waarbij een dergelijke beoordeling deel zou moeten uitmaken van het wetgevingsproces zelf.
AVG: doelbinding, proportionaliteit en dataminimalisatie
Naast de AI Act is de AVG het meest directe juridische toetsingskader. Drie beginselen zijn hier in het geding.
Het doelbindingsbeginsel vereist dat persoonsgegevens alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. "Openbare-orde monitoring" is breed. Zonder duidelijke begrenzing van de zoekopdracht en de te raadplegen bronnen is niet te garanderen dat de verzamelde gegevens daadwerkelijk beperkt blijven tot het beoogde doel. In de praktijk kunnen gegevens die worden opgehaald door automatische crawlers ook informatie bevatten over politieke opvattingen, religieuze achtergrond of gezondheid, categorieën die bijzondere bescherming genieten onder de AVG.
Het proportionaliteitsbeginsel vereist dat de inbreuk op grondrechten niet verder gaat dan noodzakelijk voor het beoogde doel. Het automatisch in kaart brengen van iemands digitale voetafdruk, op basis van rechterlijk bevel maar zonder dat sprake is van een verdenking van een strafbaar feit, is een vergaande inbreuk op het recht op privacy en op de vrijheid van meningsuiting en vergadering. De proportionaliteit van die inbreuk ten opzichte van het belang van preventieve openbare-ordehandhaving is niet vanzelfsprekend aantoonbaar.
Het dataminimalisatiebeginsel verplicht tot het verzamelen van niet meer gegevens dan strikt noodzakelijk. Geautomatiseerde crawlers vergaren per definitie ruim: ze volgen links en scrapen pagina's op alles wat bereikbaar is. Dat staat in directe spanning met het beginsel van minimale gegevensverzameling.
Wat dit betekent voor publieke-sectororganisaties
De meest directe vraag voor compliance-professionals in de publieke sector is welke signalen de AP-beoordeling afgeeft over de richting van het toezicht. En dat signaal is consistent: overheidsinstellingen die geautomatiseerde systemen inzetten voor monitoring, profilering of beoordeling van burgers, moeten kunnen aantonen dat die systemen voldoen aan strikte normen van proportionaliteit, doelbinding en dataminimalisatie. Dat geldt niet alleen voor de politie. Het geldt voor elke publieke instelling die AI inzet voor beslissingen die de rechten van burgers raken.
De AP wijst er bovendien op dat dit soort bevoegdheden niet wet voor wet geregeld moet worden, maar ingebed dient te worden in een breder nationaal kader. Nederland heeft behoefte aan een coherent raamwerk voor AI bij rechtshandhaving, in plaats van afzonderlijke wetsvoorstellen die telkens opnieuw de grenzen aftasten zonder van een gedeeld grondrechtelijk fundament te vertrekken. Die aanbeveling heeft directe betekenis voor publieke-sectororganisaties die nu nadenken over de inzet van AI voor toezichts- en handhavingstaken.
Een patroon in AP-adviezen
Het advies over de Wet gegevensvergaring openbare orde staat niet op zichzelf. Dezelfde week publiceerde de AP ook kritiek op een wetsvoorstel over politie-inlichtingenteams via informanten, dat eveneens onvoldoende begrensd bleek. Er tekent zich een patroon af: ambitieuze wetsvoorstellen voor uitbreiding van politiebevoegdheden op het gebied van informatieverwerving worden ingediend zonder voldoende aandacht voor de grondrechtelijke en privacyrechtelijke randvoorwaarden die de AI Act en de AVG stellen.
De AP maakt met dit soort adviezen duidelijk dat ze bereid is kritisch positie in te nemen tegenover de wetgever. De vraag is of het kabinet bereid is die kritiek serieus te nemen voordat de wet wordt aangenomen. De grondrechtentoets die nu door de AP wordt uitgevoerd op papier, zal later door de rechter worden uitgevoerd in de praktijk. Het is doorgaans efficiënter om die eerste ronde goed te doen.