De Autoriteit Persoonsgegevens (AP) gaat vanaf 1 juli 2026 actief controleren of gemeenten het gebruik van scanauto’s correct hebben vastgelegd in hun algoritmeregister. Aanleiding hiervoor is een onderzoek waaruit blijkt dat minder dan de helft van de gemeenten deze inzet tot nu toe heeft geregistreerd, terwijl dit wel nodig is om transparant te zijn over het gebruik van algoritmes binnen de overheid.
Scanauto’s worden steeds vaker ingezet voor parkeercontrole en maken daarbij gebruik van technologieën die persoonsgegevens verwerken, zoals kentekens, in combinatie met algoritmes en soms kunstmatige intelligentie. Juist omdat deze systemen invloed hebben op burgers, is het belangrijk dat inzichtelijk is hoe ze werken, waarvoor ze worden gebruikt en welke gevolgen ze kunnen hebben. Een volledig en actueel algoritmeregister helpt gemeenten om dat overzicht te behouden en maakt het voor inwoners duidelijk hoe besluiten tot stand komen.
Uit het onderzoek blijkt dat verantwoord gebruik van scanauto’s verder gaat dan alleen de techniek. Gemeenten verschillen onderling in hoe zij deze systemen inkopen, inrichten en beheren. Daarom is het noodzakelijk dat zij niet alleen kijken naar de technische component, maar ook naar de organisatorische en juridische kant, waaronder privacybescherming.
Een belangrijk aandachtspunt is dat gemeenten zelf een Data Protection Impact Assessment (DPIA) moeten uitvoeren. Het is niet voldoende om te verwijzen naar een analyse van een externe leverancier, omdat de gemeente eindverantwoordelijk blijft voor de verwerking van persoonsgegevens. Zo’n DPIA moet inzicht geven in welke gegevens worden verwerkt, hoe groot de omvang daarvan is, welke risico’s dat met zich meebrengt en op welke manier inwoners hierover worden geïnformeerd.
Daarnaast waarschuwt de AP voor zogenoemde doelverschuiving. Technologie die oorspronkelijk is bedoeld voor parkeerhandhaving kan later worden ingezet voor andere doeleinden, zoals handhaving rond afval of het signaleren van problemen in de openbare ruimte. Voor elk nieuw gebruik moet echter opnieuw worden beoordeeld of dit juridisch is toegestaan en welke aanvullende waarborgen nodig zijn, omdat nieuwe toepassingen ook nieuwe privacyrisico’s met zich meebrengen.
Binnen dit geheel spelen functionarissen gegevensbescherming een belangrijke rol. Zij moeten onafhankelijk en kritisch toezicht houden op de keuzes die gemeenten maken, de volledigheid van DPIA’s beoordelen en signaleren of het gebruik van technologie binnen de geldende privacyregels blijft. Volgens de AP is juist deze kritische tegenkracht essentieel om te zorgen dat de inzet van scanauto’s op een zorgvuldige en verantwoorde manier gebeurt.