Privacy: is zorgvuldig omgaan met persoonsgegevens voldoende?

mei 2017

Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?

Antwoord in het kort:

Nee, alleen het waarborgen van het zorgvuldigheidsbeginsel bij de omgang met persoonsgegevens is niet voldoende om ook rechtmatig persoonsgegevens te verwerken in de zin van de Europese Algemene verordening gegevensbescherming (AVG). Hoewel gemeenten en andere decentrale overheden bij persoonsgegevensbeheer altijd het zorgvuldigheidsbeginsel in acht moeten nemen, is dit niet het eerste vereiste waaraan getoetst moet worden. Nog voor je toekomt aan de toets op het zorgvuldigheidsbeginsel moet er allereerst een grondslag zijn voor het verwerken van persoonsgegevens. Daarnaast moet er altijd een expliciete doelstelling worden verbonden aan de verwerking van deze gegevens.

Verwerken van persoonsgegevens is verboden, tenzij…

In principe is het verwerken van persoonsgegevens verboden op grond van art. 6 AVG, tenzij er een grondslag is hiervoor. Alles wat een overheidsinstantie doet met persoonsgegevens, van kijken naar tot doorsturen, valt onder het verwerken van persoonsgegevens. Het beheren van contactpersonen op een genodigdenlijst valt hier dus ook onder. De grondslag van verwerken kan toestemming zijn, maar het verwerken van persoonsgegevens kan ook noodzakelijk zijn om aan een wettelijke verplichting te voldoen.

Momenteel moet elke verwerking van persoonsgegevens voldoen aan de voorwaarden gesteld in de Nederlandse Wet bescherming persoonsgegevens (Wbp). In deze wet zijn de Europeesrechtelijke verplichtingen uit richtlijn 95/46/EG geïmplementeerd. De Wbp komt per 25 mei 2018 te vervallen. De Algemene verordening gegevensbescherming is vanaf dat moment rechtstreeks toepasbaar.

In de verdere uitwerking van deze praktijkvraag wordt voornamelijk ingegaan op de Europese regelgeving uit de Algemene verordening gegevensbescherming. Echter, de AVG hanteert dezelfde grondslagen voor gegevensverwerking als de Wbp.

Wanneer worden persoonsgegevens verwerkt?

Onder een persoonsgegeven kan worden verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (art. 4 lid 1 AVG). Een natuurlijk persoon is identificeerbaar wanneer hij of zij direct of indirect kan worden geïdentificeerd. Alles wat met deze persoonsgegevens gebeurt, valt onder het verwerken van persoonsgegevens. De definitie van verwerken staat in art. 4 lid 2 AVG. Voorbeelden zijn het bewaren, delen, verzamelen, ordenen, bekijken, analyseren, etc. van persoonsgegevens. Het gebruiken, bewaren, inzien of verstrekken van de genodigdenlijst is een verwerking van persoonsgegevens in de zin van de AVG.

Verwerkingsbeginselen

In art. 5 AVG worden de zogenaamde verwerkingsbeginselen met betrekking tot persoonsgegevens neergelegd. Volgens deze beginselen moeten persoonsgegevens onder andere:

Rechtmatigheid

Hoewel zorgvuldig met persoonsgegevens omgaan altijd een voorwaarde is voor gegevensbewerking, moet er allereerst altijd een zogenaamde grondslag zijn voor het verwerken van deze gegevens, voordat een toets op de zorgvuldigheidsnorm plaatsvindt. De meest gebruikte grondslagen door decentrale overheden zijn de grondslagen genoemd onder art. 6 a (verwerking waarvoor de betrokkene toestemming heeft gegeven), c (verwerking waarvoor een wettelijke verplichting is) en e (of verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag) van de AVG.

Toestemming

De voor verwerking verantwoordelijke overheid (in dit geval de gemeente) moet kunnen aantonen dat de betrokkene (diegene van wie de persoonsgegevens verwerkt worden) toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegeven (art. 7 AVG). Het verzoek om toestemming moet in begrijpelijke en gemakkelijk toegankelijke vorm aangeboden worden, en in duidelijke en eenvoudige taal. Daarnaast kan de betrokkene de toestemming te allen tijde intrekken. De toestemming moet bovendien vrijelijk gegeven zijn. Wanneer er sprake is van een afhankelijkheidsrelatie tussen overheid en burger, wordt de toestemming geacht niet vrijelijk te zijn gegeven (rechtsoverweging 43). Binnen het sociaal domein blijkt toepassing van dit toestemmingsvereiste een lastig uitvoerbare grondslag.

Genodigdenlijst

Voor het verwerken van persoonsgegevens van mensen voor op een genodigdenlijst, is toestemming vereist. Het doel van verwerking is het organiseren en administreren van de bijeenkomst.

Wettelijke verplichting

Een andere grondslag wanneer het verwerken van persoonsgegevens wordt toegestaan, is wanneer de verwerking van persoonsgegevens noodzakelijk is om aan een wettelijke verplichting die op een gemeente of andere decentrale overheid rust te voldoen.

Doelbinding

Wanneer een gemeente persoonsgegevens verzamelt, moet dit worden gedaan voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’. Daarnaast mogen deze persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden (art. 5 lid b AVG). Wanneer de gemeente toestemming heeft gevraagd om contactpersonen op de hoogte te houden van interessante bijeenkomsten omtrent privacy, mogen zij deze lijst met contactpersonen niet gebruiken om een bericht over gemeentebelastingen te sturen.

Deze verwerkingsdoeleinden moeten altijd aan de betrokkene worden verstrekt (art. 13 AVG). Ook moet de betrokkene op de hoogte zijn van de grondslag waarop de persoonsgegevens worden verzameld, als deze gegevens direct bij de betrokkene worden ingezameld. Echter, ook wanneer de persoonsgegevens niet direct van de betrokkene zijn verkregen, moet de betrokkene op de hoogte worden gebracht van de verwerkingsdoeleinden.

Wanneer in casu de verwerkingsdoeleinden voor het bijhouden van een genodigdenlijst het organiseren en administreren van de bijeenkomst is, moeten deze doeleinden openbaar gemaakt worden.

Verenigbaarheid?

Wanneer de verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, uitgevoerd wordt en de grondslag niet op toestemming berust, is het mogelijk dat er toch geen nieuwe grondslag nodig is. De verwerking is in een dergelijk geval toegestaan indien dit verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld (art. 6 lid 4 AGV).

Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke (gemeente in dit geval), onder meer rekening houden met:

Genodigdenlijsten worden verzameld op basis van toestemming. Verwerkingen op basis van toestemming vallen niet onder art. 6 lid 4. Echter, wanneer de verwerking plaatsvond op basis van het voldoen aan een wettelijke grondslag, kan de gemeente wel onderzoeken of het nieuwe doel voor verwerken verenigbaar kan zijn met het aanvankelijke doel.

Toestemming en doelbinding:

Genodigdenlijsten worden gemaakt op basis van toestemming. Wanneer de grondslag toestemming is, moet de toestemming gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend.

Oftewel, de gemeente heeft toestemming nodig voor de verdere verwerking van de genodigdenlijst die niet volgt uit het oorspronkelijke doel, het organiseren en administreren van de bijeenkomst. Het toezenden van een verslag van de bijeenkomst of het uitnodigen voor een vervolgbijeenkomst staat in verband met het oorspronkelijke doel. De genodigdenlijst mag hiervoor gebruikt worden, zonder opnieuw toestemming te vragen. Deze lijst gebruiken om informatie te sturen voor een heel ander onderwerp dan waar de bijeenkomst over ging, heeft geen verband met het oorspronkelijke doel voor verwerking van gegevens. Kortom: er is dan opnieuw toestemming vereist, tenzij er een wettelijke grondslag voor verwerken is.

Door:

Femke Salverda, Europa decentraal

Meer informatie:

Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Verwerken van persoonsgegevens, Europa decentraal
Verplichtingen verantwoordelijke, Europa decentraal
Privacy, themapagina Europa decentraal

MEER WETEN OVER DIT ONDERWERP?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG

X