Net als alle andere gemeenten, verzamelen wij diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld is de genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?
Antwoord in het kort
Nee, alleen het waarborgen van het zorgvuldigheidsbeginsel bij de omgang met persoonsgegevens is niet voldoende om ook rechtmatig persoonsgegevens te verwerken in de zin van de Europese Algemene verordening gegevensbescherming (AVG). Hoewel gemeenten en andere decentrale overheden bij persoonsgegevensbeheer altijd het zorgvuldigheidsbeginsel in acht moeten nemen, is dit niet het eerste vereiste waaraan getoetst moet worden. Nog voor je toekomt aan de toets op het zorgvuldigheidsbeginsel moet er allereerst een grondslag zijn voor het verwerken van persoonsgegevens. Daarnaast moet er altijd een expliciete doelstelling worden verbonden aan de verwerking van deze gegevens.
Verwerken van persoonsgegevens
De AVG reguleert de verwerking van persoonsgegevens. Onder persoonsgegeven kan worden verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’, aldus artikel 4 lid 1 AVG. In principe is het verwerken van persoonsgegevens verboden op grond van artikel 6 AVG, tenzij er een grondslag is hiervoor. De definitie van verwerken komt uit artikel 4 lid 2 AVG en stelt praktisch al het gebruik van persoonsgegevens een vorm van verwerking is; inkijken, doorsturen, maar ook het opstellen van een lijst val hieronder.
Het is belangrijk om te weten welke rol een organisatie speelt bij verwerking. Binnen de AVG zijn er drie mogelijke rollen: de verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke en de verwerker. Deze rollen zijn van belang om te bepalen wie er bevoegd is of zijn om beslissingen te nemen over het doel en de belangrijkste aspecten van de verwerking van persoonsgegevens, waaronder ook het hergebruik van persoonsgegevens. Kijk hier voor meer informatie op de infopagina of de website van de Nederlandse toezichthouder op de AVG, de Autoriteit Persoonsgegevens.
Rechtvaardig verwerken
Als een organisatie toch persoonsgegevens wil verwerken, heeft het een grondslag nodig. Dit is een soort van rechtvaardiging waarom het nodig is om de persoonsgegevens op een bepaalde manier te gebruiken. Daarnaast zijn er naast de grondslagen nog een aantal verwerkingsbeginselen uitgezet, waaraan de verwerker zich moet houden. Bij verwerking moet aan deze beide aspecten worden gedacht.
Grondslagen
In totaal zijn er zes grondslagen voor de rechtmatige verwerking van persoonsgegevens zoals gedefinieerd in artikel 6 van de AVG.
- Er is toestemming van de persoon om wie het gaat (de betrokkene);
- De verwerking is noodzakelijk om een overeenkomst uit te voeren, waarbij de betrokkene partij is;
- De verwerking is noodzakelijk omdat dit wettelijk verplicht is;
- De verwerking is noodzakelijk om de vitale belangen van de betrokkene of andere natuurlijke personen te beschermen;
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
- De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.
Hoewel zorgvuldig met persoonsgegevens omgaan, zoals de vraagsteller opgooit, altijd een voorwaarde is voor gegevensbewerking, moet er allereerst altijd één van de bovenstaande grondslagen zijn voor de verwerking. Pas daarna kan een toets op de zorgvuldigheidsnorm plaatsvinden. De meest gebruikte grondslagen door decentrale overheden zijn toestemming, wettelijke noodzakelijkheid en de noodzakelijk om een taak van algemeen belang uit te oefenen.
Verwerkingsbeginselen
Aanvullend op de grondslagen, is het belangrijk om rekening te houden met de verwerkingsbeginselen. Deze worden uitgezet in artikel 5 van de AVG. Volgens de beginselen moet de verwerking voldoen aan:
- Rechtmatigheid, behoorlijkheid en transparantie; Een betrokkene moet op de hoogte worden gesteld van de verwerking en de verwerking moeten binnen wetskaders plaatsvinden.
- Doelbinding; Persoonsgegevens mogen alleen verwerkt worden met een vooraf duidelijk omschreven en gerechtvaardigd doeleinde.
- Dataminimalisatie; Een verwerker mag nooit meer data verwerken dan nodig voor het geformuleerde doel.
- Juistheid; De verzamelde persoonsgegevens moeten correct en actueel zijn bij verwerking.
- Opslagbeperking; Persoonsgegevens mogen niet langer bewaard worden dan nodig.
- Vertrouwelijkheid en integriteit; Verwerkers moeten zorgen voor de veiligheid van de persoonsgegevens en deze op een verantwoorde manier verwerken.
De genodigde lijst
Zoals al gesuggereerd, is het maken van een genodigdenlijst een vorm van verwerking. De persoonsgegevens worden immers verzameld, opgeschreven ingekeken en mogelijk meer. Het is dus belangrijk om zowel de grondslagen als de verwerkingsbeginselen in gedachte te houden.
De grondslag voor de verwerking van de persoonsgegevems is zonder verdere informatie moeilijk vast te stellen. In dit geval gaan wij ervan uit dat de genodigdenlijst gebaseerd is op een aanmeldprocedure. Bij het aanmelden is het dan belangrijk dat mensen geïnformeerd worden over het verwerken van hun gegevens en hoe de organisatie dit veilig behandeld. Een privacyverklaring kan hierbij van pas komen.
Let op dat een verzoek om toestemming moet in begrijpelijke en gemakkelijk toegankelijke vorm aangeboden worden en in duidelijke en eenvoudige taal. Dit moet conform Artikel 7 van de AVG. Ook moet de betrokkene de toestemming ten allen tijde intrekken. De toestemming moet bovendien vrijelijk gegeven zijn. Wanneer er sprake is van een afhankelijkheidsrelatie tussen overheid en burger, wordt de toestemming geacht niet vrijelijk te zijn gegeven. Dit is verduidelijkt in rechtsoverweging 43.
Daarnaast is het belangrijk dat de organisatie zich aan alle verwerkingsbeginselen houdt. Specifiek noemenswaardig voor de vraagsteller is dat de gegevens voor de genodigdenlijst worden verwerkt in het kader van de organisatie van dit evenement.
Verenigbaarheid?
Als de gemeente de genodigdenlijst voor een nieuw doeleinde wil gebruiken dan voor wat het aanvankelijk verzameld is, is er opnieuw een grondslag nodig om deze nieuwe verwerking te rechtvaardigen. De uitzondering hierop is als er al toestemming is gegeven voor de verwerking. Zo zou kan in het aanmeldformulier een optie om op de hoogte gesteld te worden van toekomstige events opgenomen kunnen worden, om eventuele verdere verwerking te faciliteren
Mocht er geen toestemming zijn, dan is er een nieuwe grondslag nodig. De verwerking is in een dergelijk geval toegestaan indien dit verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld, conform artikel 6 lid 4 AGV.
Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke onder meer rekening houden met:
- een eventueel verband tussen de aanvankelijke doeleinden en de nieuwe doeleinden van de voorgenomen verdere verwerking;
- het kader waarin de gegevens zijn verzameld (wat is de relatie tussen de betrokkene en de gemeente);
- de aard van de persoonsgegevens (zijn er bijzondere persoonsgegevens betrokken bij de verwerking);
- de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen (hoe wordt de betrokkene geraakt bij verdere verwerking);
- het bestaan van passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.
Genodigdenlijsten worden verzameld op basis van toestemming. Verwerkingen op basis van toestemming vallen niet onder artikel 6 lid 4. Echter, wanneer de verwerking plaatsvond op basis van het voldoen aan een wettelijke grondslag, kan de gemeente wel onderzoeken of het nieuwe doel voor verwerken verenigbaar kan zijn met het aanvankelijke doel.
Conclusie
Ondanks dat het zorgvuldig omgaan met persoonsgegevens ontzettend belangrijk is voor verwerking (en daarbuiten), is het niet voldoende om juridisch zuiver te handelen. Het is belangrijke voor een organisatie om een grondslag voor het verwerken te hebben en om rekening te houden met alle verwerkingsbegingselen.
Meer informatie
Privacy: de Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Verwerken van persoonsgegevens, Kenniscentrum Europa decentraal
Verplichtingen verantwoordelijke, Kenniscentrum Europa decentraal
Meer weten over dit onderwerp?
Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:
