Geplaatst op door admin

persoonsgegevens

Verstrekken van persoonsgegevens

Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dit verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Hiervoor gelden echter strenge eisen, waaraan niet snel zal worden voldaan.

  1. Verstrekking moet verenigbaar zijn met doel
  2. Bepalen of verstrekking verenigbaar is
  3. Verstrekking is verenigbaar
  4. Verstrekking is niet verenigbaar

Verstrekking moet verenigbaar zijn met doel

Wil een organisatie persoonsgegevens verstrekken aan een andere organisatie? Doorgaans zijn de persoonsgegevens niet (mede) met dat doel verzameld. Daarom zal dat vaak niet toegestaan zijn. Er moet immers een duidelijk doel zijn om persoonsgegevens te mogen verzamelen. En mogen de gegevens vervolgens niet voor een ander doel worden verwerkt (verstrekken is een vorm van verwerken). Dat is een van de hoofdregels voor de bescherming van persoonsgegevensen wordt ‘doelbinding’ genoemd.

Deze eis van doelbinding is streng, maar de AVG geeft wel wat ruimte: verdere verwerking van persoonsgegevens is toegestaan als die verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n).

Is er voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mogen de gegevens alleen worden verstrekt als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

  • Is er een verband met het doel waarvoor de gegevens zijn verzameld?
  • Binnen welk kader zijn de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen de organisatie en de betrokkene(n)?
  • Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
  • Wat zijn de (mogelijke) gevolgen van een verstrekking?
  • Zijn er passende waarborgen, zoals versleuteling of pheudonimisering van de gegevens?
  • Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking van persoonsgegevens aan een andere organisatie zal hier echter niet snel aan voldoen. Want vaak:

  • staat het doel van de verstrekking of van die andere organisatie juist ver af van het oorspronkelijke doel;
  • kan verstrekking aan een andere organisatie juist wel vergaande gevolgen hebben;
  • kan verstrekking voor de betrokkene(n) verrassend kan zijn. 

Verstrekking is verenigbaar

Is de verstrekking van persoonsgegevens toch verenigbaar? Dan mogen de gegevens verstrekt worden. Als dit op basis van dezelfde grondslag gebeurt als de grondslag op basis waarvan de gegevens verzameld zijn. Dan is er dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van persoonsgegevens niet verenigbaar? Dan mogen de gegevens alleen verstrekken als de betrokkene toestemming geeft om de gegevens (ook) voor de nieuwe doelstelling te verwerken. Of als de wetgever met het oog op specifieke, zwaarwegende belangen bepaald heeft dat de al verzamelde gegevens ook voor andere doeleinden mogen worden gebruikt. 

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *