Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Het publiceren van een bedrijfsnaam lijkt ons in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?
Antwoord in het kort
In een beperkt aantal gevallen zal een bedrijfsnaam als een persoonsgegeven gekwalificeerd kunnen worden in de zin van artikel 4 lid 1 AVG. Dit is met name het geval wanneer een bedrijf geregistreerd staat op naam van een natuurlijk persoon. Dit is bijvoorbeeld het geval bij een ZZP’er of eenmanszaak. Over het algemeen bevatten bedrijfsgegevens geen directe link met een natuurlijk persoon. Mocht een bedrijfsnaam als persoonsgegeven gezien kunnen worden, moet aan de hand van de verwerkingsbeginselen uit artikel 5 AVG worden gekeken of deze bedrijfsnaam nog steeds gepubliceerd kan worden.
Algemene Verordening Persoonsgegevens (AVG)
Vanaf 25 mei 2018 moeten onder andere decentrale overheden voldoen aan de Europese regels van de Algemene Verordening Gegevensbescherming (AVG). Deze verordening ziet toe op de juiste omgang met de verwerking van persoonsgegevens van natuurlijke personen. Wanneer er geen link is met een natuurlijk persoon, zijn de regels van de AVG niet op de verwerking van de gegevens van toepassing.
Identificeerbaarheid
Artikel 4 van de AVG hanteert een breed begrip van ‘persoonsgegevens’. Er is sprake van persoonsgegevens wanneer dat gegeven een natuurlijk persoon kan identificeren. Deze identificeerbaarheid hangt af van het specifieke gegeven in de specifieke context. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is.
Bij namen, identificatienummers of andere elementen die kenmerkend voor specifiek personen is gauw sprake van identificeerbaarheid en dus van persoonsgegevens. Andere gegevens, zoals een functie of een IP-adres, zijn op het eerste gezicht geen gegevens waar een natuurlijk persoon direct of indirect mee kan worden geïdentificeerd. Ook in zo’n geval kan sprake zijn van persoonsgegevens. Hoewel met deze gegevens meestal nog niet direct een persoon kan worden geïdentificeerd, kan dit door een koppeling aan andere gegevens alsnog leiden tot identificatie. We spreken dan van indirect identificeerbare persoonsgegevens. Bedrijfsnamen kunnen dus persoonsgegevens betreffen, waardoor eventuele AVG-verplichtingen gelden.
Redelijkerwijs te identificeren
Uit overweging 26 van de preambule bij de AVG blijkt dat, om te bepalen of een natuurlijk persoon identificeerbaar is, rekening moet worden gehouden met alle middelen die redelijkerwijs kunnen worden gebruikt door de verwerkingsverantwoordelijke (in dit geval de gemeente) of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren. Of iets ‘redelijkerwijs’ is moet worden afgewogen aan de hand van objectieve factoren, zoals de kosten en tijd die nodig zijn voor de identificatie. Het gaat dus niet om de hypothetische mogelijkheid dat gegevens gekoppeld of gecombineerd kunnen worden, maar om de vraag of dit koppelen of combineren zonder onevenredige inspanning gedaan zou kunnen worden. Als hiervan sprake is, moet de decentrale overheid zich houden aan de regels van de AVG.
Kan een bedrijfsnaam een persoonsgegeven zijn?
Een bedrijfsnaam die niet direct of indirect een natuurlijk persoon identificeert, zal buiten de reikwijdte van de AVG vallen. Het kan echter zo zijn dat een bedrijf geregistreerd staat met de naam van een natuurlijk persoon. Hierbij kan bijvoorbeeld gedacht worden aan een ZZP’er of eenmanszaak. In dat geval zal er veel sneller sprake zijn van een persoonsgegeven. Ook hierbij moet gekeken worden naar de specifieke situatie. Een bedrijf dat geregistreerd staat in het KvK-register met een voor- en achternaam is makkelijker herleidbaar naar een natuurlijk persoon dan het algemenere “Jansen B.V.” Hieruit volgt de conclusie dat een bedrijfsnaam dus in bepaalde gevallen wel zou kunnen classificeren als een persoonsgegeven in de zin van de AVG. Indien de gemeente tot de conclusie komt dat dat het geval is, zal zij de beschermende bepalingen van de AVG op de verwerking van deze persoonsgegevens moeten toepassen.
Welke gevolgen heeft dit vervolgens voor de praktijk van het (wettelijk verplicht) publiceren van kennisgevingen van vergunningen aan dergelijke bedrijfsnamen door decentrale overheden?
Publicatie van de vergunning: rechtmatige verwerking?
Onder verwerking van persoonsgegevens in de zin van de AVG valt alles wat de verwerkingsverantwoordelijke (in dit geval de gemeente) met persoonsgegevens doet. Naast het opslaan, verwijderen en bewerken van persoonsgegevens valt ook al het inzien van een persoonsgegeven onder een verwerking in de zin van artikel 4 lid 2 AVG. Het publiceren van persoonsgegevens door de gemeente in bijvoorbeeld een publicatieblad zal dus ook aan de regels van de AVG moeten voldoen.
Grondslag- en noodzakelijkheidstoets
Persoonsgegevens mogen niet verwerkt worden, tenzij aan de verwerkingsbeginselen van artikel 5 AVG is voldaan.
Grondslagtoets
Een belangrijke uitwerking van deze beginselen is het feit dat er voor elke verwerking een zogenaamde grondslag moet zijn. Wat dit precies inhoudt, kunt u lezen in deze eerdere praktijkvraag waarin de zes grondslagen voor de rechtmatige verwerking van persoonsgegevens worden benoemd. In dit specifieke geval van het verwerken van persoonsgegevens in het kader van het publiceren van vergunningenbesluiten door de gemeente wordt voldaan aan de grondslag genoemd onder artikel 6 lid 1 onder c van de AVG: verwerking is noodzakelijk ter uitvoering van een wettelijke plicht.
Noodzakelijkheidstoets
Het is vervolgens aan de decentrale overheid die de verwerking uitvoert om te bepalen of de publicatie van de persoonsgegevens in de vergunning ook noodzakelijk is om te voldoen aan de wettelijke plicht. In de meeste gevallen is de publicatie van de naam van het bedrijf waaraan de vergunning is verleend een noodzakelijk onderdeel van de publicatieplicht van de vergunning. Wanneer de vergunning zou worden gepubliceerd zonder de naam van het bedrijf dat als persoonsgegeven in de zin van de AVG kan worden geclassificeerd, zouden immers belanghebbenden beperkt worden in hun mogelijkheden om hier efficiënt op te kunnen reageren.
In bepaalde gevallen is het dus gerechtvaardigd om de naam van het bedrijf te verwerken en te publiceren, mits deze grondslag- en noodzakelijkheidstoets positief uitvallen. Ter vergelijking: de publicatie van de naam van een contactpersoon bij het bedrijf waaraan de vergunning is verleend zal bijvoorbeeld niet noodzakelijk zijn voor de uitvoering van de wettelijke plicht.
Heeft u naar aanleiding van deze praktijkvraag vragen over de AVG? U kunt hiervoor terecht bij onze helpdesk.
Meer informatie
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Privacy: Is zorgvuldig omgaan met persoonsgegevens voldoende? Kenniscentrum Europa Decentraal
