Als gemeente verlenen wij verschillende vergunningen aan burgers en bedrijven. De besluiten die wij omtrent het verlenen van deze vergunningen nemen, dienen wij op grond van wettelijke verplichtingen te publiceren. Het publiceren van een bedrijfsnaam lijkt ons in principe toegestaan onder de AVG, aangezien het hier geen natuurlijk persoon betreft. Maar hoe zit het als een bedrijf bijvoorbeeld in het Handelsregister van de KvK is ingeschreven op naam van een natuurlijk persoon? Valt de bedrijfsnaam in dat geval wel te beschouwen als een persoonsgegeven in de zin van de AVG en heeft dit gevolgen voor de manier waarop wij vergunningenbesluiten moeten publiceren?
Antwoord in het kort
In een beperkt aantal gevallen zal een bedrijfsnaam als een persoonsgegeven gekwalificeerd kunnen worden in de zin van artikel 4 lid 1 AVG. Dit hangt af van de specifieke situatie, zoals wanneer een bedrijf geregistreerd staat met de naam van een natuurlijk persoon. Dit is bijvoorbeeld het geval bij een ZZP’er of eenmanszaak. Over het algemeen bevatten bedrijfsgegevens geen directe link met een natuurlijk persoon. Mocht een bedrijfsnaam wel als persoonsgegeven gezien kunnen worden, moet aan de hand van de verwerkingsbeginselen uit artikel 5 AVG worden gekeken of deze bedrijfsnaam nog steeds gepubliceerd kan worden.
Algemene Verordening Persoonsgegevens (AVG)
Vanaf 25 mei 2018 moeten onder andere decentrale overheden voldoen aan de Europese regels van de Algemene Verordening Gegevensbescherming (AVG). Deze verordening ziet toe op de juiste omgang met de verwerking van persoonsgegevens van natuurlijke personen. Wanneer er geen link is met een natuurlijk persoon, zijn de regels van de AVG niet op de verwerking van de gegevens van toepassing.
Persoonsgegeven
Volgens artikel 4 lid 1 van de AVG is een persoonsgegeven:
“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”
Geïdentificeerd of identificeerbaar?
Belangrijk bij het vaststellen of er sprake is van een persoonsgegeven in de zin van de AVG is het verschil tussen ‘geïdentificeerd’ en ‘identificeerbaar’. De (Europese) wetgever heeft besloten het begrip ‘persoonsgegevens’ breed uit te leggen. Er is niet alleen sprake van een persoonsgegeven wanneer een natuurlijk persoon al geïdentificeerd is, maar ook wanneer er een mogelijkheid bestaat dat deze geïdentificeerd kan worden. Dit is afhankelijk van de specifieke situatie. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is. Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd is, maar dit zonder onevenredige inspanning wel mogelijk is.
In veel situaties zal het heel duidelijk zijn dat er sprake is van een persoonsgegeven. Het betreft dan bijvoorbeeld een naam, identificatienummer of andere elementen die kenmerkend voor een specifiek persoon zijn. Andere gegevens, zoals een functie of een IP-adres, zijn op het eerste gezicht geen gegevens waar een natuurlijk persoon direct of indirect mee kan worden geïdentificeerd. Ook in zo’n geval kan er echter sprake zijn van een persoonsgegeven. Hoewel met deze gegevens meestal nog niet direct een persoon kan worden geïdentificeerd, kan dit door een koppeling aan andere gegevens alsnog leiden tot identificatie. We spreken dan van een indirect identificeerbaar persoonsgegeven. Net zoals in deze casus is het dus van belang om bij vermelding van bedrijfsnamen altijd na te gaan of deze niet (indirect) naar persoonsgegevens kunnen leiden, waardoor eventuele AVG-verplichtingen kunnen gelden.
Redelijkerwijs te identificeren
Uit de memorie van toelichting bij de AVG blijkt dat, om te bepalen of een natuurlijk persoon identificeerbaar is, rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat die worden gebruikt door de verwerkingsverantwoordelijke (in dit geval de gemeente) of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren. Of iets ‘redelijkerwijs’ is moet worden afgewogen aan de hand van objectieve factoren, zoals de kosten en tijd die nodig zijn voor de identificatie. Het gaat dus niet om de hypothetische mogelijkheid dat gegevens gekoppeld of gecombineerd kunnen worden, maar om de vraag of dit koppelen of combineren zonder onevenredige inspanning gedaan zou kunnen worden. Als hiervan sprake is, moet de decentrale overheid zich houden aan de regels van de AVG.
Kan een bedrijfsnaam een persoonsgegeven zijn?
Een bedrijfsnaam die niet direct of indirect een natuurlijk persoon identificeert, zal buiten de reikwijdte van de AVG vallen. Het kan echter zo zijn dat een bedrijf geregistreerd staat met de naam van een natuurlijk persoon. Hierbij kan bijvoorbeeld gedacht worden aan een ZZP’er of eenmanszaak. In dat geval zal er veel sneller sprake zijn van een persoonsgegeven. Ook hierbij moet gekeken worden naar de specifieke situatie. Een bedrijf dat geregistreerd staat in het KvK-register met een voor- en achternaam is makkelijker herleidbaar naar een natuurlijk persoon dan het algemenere “Jansen B.V.” Hieruit volgt de conclusie dat een bedrijfsnaam dus in bepaalde gevallen wel zou kunnen classificeren als een persoonsgegeven in de zin van de AVG. Indien de gemeente tot de conclusie komt dat dat het geval is, zal zij de beschermende bepalingen van de AVG op de verwerking van deze persoonsgegevens moeten toepassen.
Welke gevolgen heeft dit dan vervolgens voor de praktijk van het (wettelijk verplicht) publiceren van kennisgevingen van vergunningen aan dergelijke bedrijfsnamen door decentrale overheden?
Publicatie van de vergunning: rechtmatige verwerking?
Onder verwerking van persoonsgegevens in de zin van de AVG valt alles wat de verwerkingsverantwoordelijke (in dit geval de gemeente) met persoonsgegevens doet. Naast het opslaan, verwijderen en bewerken van persoonsgegevens valt ook al het inzien van een persoonsgegeven onder een verwerking in de zin van artikel 4 lid 2 AVG. Het publiceren van persoonsgegevens door de gemeente in bijvoorbeeld een publicatieblad zal dus ook aan de regels van de AVG moeten voldoen.
Grondslag en noodzakelijkheidstoets
Persoonsgegevens mogen niet verwerkt worden, tenzij aan de verwerkingsbeginselen van artikel 5 AVG is voldaan.
Grondslagtoets
Een belangrijke uitwerking van deze beginselen is het feit dat er voor elke verwerking een zogenaamde grondslag moet zijn. Wat dit precies inhoudt, kunt u in deze eerdere praktijkvraag lezen. In dit specifieke geval van het verwerken van persoonsgegevens in het kader van het publiceren van vergunningenbesluiten door de gemeente wordt voldaan aan de grondslag genoemd onder artikel 6 lid 1 onder c van de AVG: verwerking is noodzakelijk ter uitvoering van een wettelijke plicht.
Noodzakelijkheidstoets
Het is vervolgens aan de decentrale overheid die de verwerking uitvoert om te bepalen of de publicatie van de persoonsgegevens in de vergunning ook noodzakelijk is om te voldoen aan de wettelijke plicht. In de meeste gevallen is de publicatie van de naam van het bedrijf waaraan de vergunning is verleend een noodzakelijk onderdeel van de publicatieplicht van de vergunning. Wanneer de vergunning zou worden gepubliceerd zonder de naam van het bedrijf dat als persoonsgegeven in de zin van de AVG kan worden geclassificeerd, zouden immers belanghebbenden beperkt worden in hun mogelijkheden om hier efficiënt op te kunnen reageren.
In bepaalde gevallen is het dus wel gerechtvaardigd om de naam van het bedrijf te verwerken en dus te publiceren, mits deze grondslag- en noodzakelijkheidstoets positief uitvallen. Ter vergelijking: de publicatie van de naam van een contactpersoon bij het bedrijf waaraan de vergunning is verleend zal bijvoorbeeld niet noodzakelijk zijn voor de uitvoering van de wettelijke plicht.
Heeft u naar aanleiding van deze praktijkvraag vragen over de AVG? U kunt hiervoor terecht bij onze helpdesk.
Meer informatie
Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal
Privacy: Is zorgvuldig omgaan met persoonsgegevens voldoende? Kenniscentrum Europa Decentraal