We zijn een jaar verder sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is. Ondertussen beginnen we onze draai te vinden en is duidelijk geworden dat het invoeren van deze nieuwe wetgeving veel tijd en inspanningen met zich brengt. Voornamelijk, omdat de oude wetgeving bij veel organisaties nog niet (volledig) was doorgevoerd, maar ook, omdat de AVG veel open normen bevat welke vrij langzaam worden ingevuld. Daarom wil ik graag een onderwerp behandelen waarvan ik heb gemerkt dat er nog veel vragen en onduidelijkheden over zijn; gegevensverstrekking.
Voorwaarden gegevensverstrekking
In mijn eerdere blog en whitepaper zijn uitvoerig de verschillende rollen en samenwerkingen onder de AVG behandeld. De AVG is van toepassing, omdat persoonsgegevens worden verstrekt, wat valt te kwalificeren als een verwerking. Dit kan onder andere zijn, omdat deze persoonsgegevens worden aangeleverd, uitgewisseld, verrijkt of gedeeld. Echter, het verstrekken van persoonsgegevens is aan voorwaarden uit de AVG gebonden.
Zo mogen persoonsgegevens worden verstrekt als deze persoonsgegevens zijn verzameld om door te geven. Dan is het verstrekken zelf namelijk het doel van de verwerking. Is dit niet het geval dan dient eerst toestemming door de betrokkene te worden gegeven. Verder is het mogelijk als de wet dat voorschrijft.
Is geen van deze opties van toepassing dan is de algemene regel dat het verstrekken van persoonsgegevens alleen nog kan als het doel van de verstrekking verenigbaar is met het doel waarvoor de persoonsgegevens zijn verzameld. Om te bepalen of het verenigbaar is met het oorspronkelijke doel moet naar de praktische omstandigheden gekeken worden. Daarbij spelen verschillende factoren een rol. De Autoriteit Persoonsgegevens (AP) geeft de volgende voorbeelden van factoren:
- ieder verband met het doel van verzamelen;
- het kader waarin de persoonsgegevens zijn verzameld (verhouding betrokkenen en verwerkingsverantwoordelijke);
- de aard van de persoonsgegevens (bijzondere persoonsgegevens en/of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten);
- de (mogelijke) gevolgen van een verstrekking;
- het bestaan van passende waarborgen (o.a. versleuteling of pseudonimisering);
- de verwachtingen van de betrokkene (degene van wie een organisatie persoonsgegevens gebruikt).
Gerechtvaardigd doel
Naast het bovenstaande moet het doel ook gerechtvaardigd zijn. Dit houdt in dat het doel gebaseerd moet zijn op één van de zes grondslagen uit de AVG. Verder moet niet vergeten worden dat de andere partij – die de persoonsgegevens ontvangt – zelf ook een grondslag moet hebben om de persoonsgegevens te mogen verwerken.
Informatieverplichting
Als laatste moet ook rekening worden gehouden met de informatieverplichting van partijen. De betrokkene moet namelijk altijd geïnformeerd worden over wat er met zijn of haar persoonsgegevens gebeurd. Dus laat weten, bijvoorbeeld in een privacyverklaring, waar de persoonsgegevens heen gaan! De ontvanger van de persoonsgegevens moet op zijn beurt weer laten weten waar de persoonsgegevens vandaan komen. Maar er mag ook afgesproken worden tussen de partijen wie de betrokkene informeert.
Voorbeeld: samenwerking CvdM en AP:
Het Commissariaat voor de Media (CvdM) en de AP gaan meer samenwerken op het gebied van toezicht en handhaving als het gaat om media-instellingen. De afspraken rondom de samenwerking en de uitwisseling van persoonsgegevens hebben zij vastgelegd in een convenant (samenwerkingsdocument).[1] Daarin valt te lezen dat beide partijen een doel en grondslag hebben voor het uitwisselen van de persoonsgegevens. Ze hebben namelijk allebei wettelijke taken waarbij het van belang is dat zij samenwerken en dus persoonsgegevens uitwisselen om deze taken zo efficiënt en doelgericht te kunnen uitvoeren. Zij mogen dus aan elkaar persoonsgegevens verstrekken.
Problematiek
In de praktijk is mij opgevallen dat vaak gewenst is persoonsgegevens door te geven voor een ander doel dan waarvoor ze zijn verzameld ten behoeve van de betrokkene of andere burgers, maar dat dit niet te rechtvaardigen valt. Dit komt bijvoorbeeld omdat toestemming vaak niet kan worden gebruikt, omdat de betrokkene afhankelijk is en niet in volledige vrijheid kan kiezen. Wat verder ook voorkomt is dat sectorale wetgeving geen uitkomst biedt waardoor knelpunten ontstaan. Het is vooral de overheid die hier tegenaan loopt. Zie bijvoorbeeld het bericht van de Raad van State van 2 april 2019[2] waarbij de vraag van gemeenten naar intensievere uitwisseling van persoonsgegevens bij de aanpak van ondermijnende criminaliteit wordt behandeld.
Maar ook in het bedrijfsleven is niet altijd duidelijk of het verstrekken mag. Zie bijvoorbeeld de recente uitspraak Ziggo jegens Dutch Filmworks (DFW).[3] Daarbij was een belangenafweging noodzakelijk om te bepalen of persoonsgegevens verstrekt mochten, en door de uitspraak van de rechter zelfs moesten, worden. Belangrijke elementen voor dergelijke belangenafwegingen waren onder andere de noodzaak, gevolgen en omstandigheden van de gegevensverstrekking.
Buiten de EU
Binnen de EU is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EU-lidstaten zich moeten houden aan de AVG. Geeft een organisatie persoonsgegevens door (=verstrekken) van Nederland naar een ander EU-land? Dan hoeft die organisatie dus alleen te voldoen aan de algemene eisen uit de AVG zoals onder andere eerder in dit artikel uitgewerkt.
Het wordt allemaal wat ingewikkelder wanneer persoonsgegevens worden doorgegeven buiten de EU, naar zogeheten derde landen[4]. Voor deze situaties gelden aparte aanvullende regels. De hoofdregel is dat een organisatie persoonsgegevens alleen mag doorgeven naar derde landen met een passend beschermingsniveau. Als er geen sprake is van een derde land met een passend beschermingsniveau, is doorgifte slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG.
Samengevat:
- Is er sprake van een passend beschermingsniveau?
- omdat dat is vastgesteld in het adequaatheid besluit of
- omdat de organisatie in de VS is gecertificeerd onder het privacy shield.
Ja: persoonsgegevens mogen worden doorgegeven.
Nee: zie punt 2.
2.Zijn er passende waarborgen van toepassing, te weten:
- Binding Corporate Rules
- modelcontract van de Europese Commissie
- modelcontract van de AP of goedgekeurd door de AP
- gedragscode
- certificering
- uitdrukkelijke toestemming
- noodzakelijk voor het aangaan of uitvoeren van een overeenkomst
- gewichtigde redenen van algemeen belang
- rechtsvordering
- gezondheid betrokken persoon of een ander
- bij wet ingesteld register (bijvoorbeeld het Kadaster)
- bijzondere omstandigheden
Ja: persoonsgegevens mogen worden doorgegeven.
Nee: persoonsgegevens mogen niet worden doorgegeven.
Kortom, analyseer altijd goed de situatie wanneer de wens bestaat om persoonsgegevens te verstrekken. Check de voorwaarden uit de AVG, let op de extra voorwaarden wanneer de persoonsgegevens naar een derde land gaan en – niet te vergeten – leg de afspraken inzake de verstrekkingen op de juiste manier vast.
Deze blog is geschreven door mr. Kim Reijnen van Kim Reijnen, Legal Support & Training . Kim is een freelance privacyrecht adviseur en training en CIPP/E gecertificeerd. Met een praktische aanpak helpt zij verschillende organisaties privacywetgeving te implementeren en beheren. Kim is coördinator en auteur van het privacyrecht nieuws binnen OpMaat Sdu.
[1] https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/cvdm-en-ap-intensiveren-samenwerking
[2] https://www.raadvanstate.nl/actueel/nieuws/@114668/voorlichting-rol/
[3] Rb. Midden-Nederland 08-02-2019, ECLI:NL:RBMNE:2019:423
[4] Derde landen zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER). Dit zijn Noorwegen, Liechtenstein en IJsland. Deze drie landen kennen een gelijkwaardig niveau van bescherming van persoonsgegevens.
[5] Er bestaat momenteel veel discussie over het niveau van het privacy shield. Volg deze ontwikkelingen dus goed wanneer zaken wordt gedaan met organisaties welke gecertificeerd zijn onder het privacy shield.