Ook onze gemeente verzamelt diverse persoonsgegevens. Een voorbeeld van gegevens die worden verzameld betreft gegevens op genodigdenlijsten van bijeenkomsten die door de gemeente worden georganiseerd. De gemeente wil dergelijke lijsten graag ook voor andere zaken gebruiken, bijvoorbeeld om de genodigden later nog eens uit te nodigen of om hen te informeren over andere nuttige onderwerpen. Vanzelfsprekend gaat de gemeente erg zorgvuldig om met persoonsgegevens. Is het in acht nemen van het zorgvuldigheidsbeginsel afdoende, of moet de gemeente bij verder gebruik van de genodigdenlijst ook andere Europeesrechtelijke vereisten in acht nemen?
Antwoord in het kort
Nee, alleen het waarborgen van het zorgvuldigheidsbeginsel bij de omgang met persoonsgegevens is niet voldoende om ook rechtmatig persoonsgegevens te verwerken in de zin van de Europese Algemene verordening gegevensbescherming (AVG). Hoewel gemeenten en andere decentrale overheden bij persoonsgegevensbeheer altijd het zorgvuldigheidsbeginsel in acht moeten nemen, is dit niet het eerste vereiste waaraan getoetst moet worden. Nog voor je toekomt aan de toets op het zorgvuldigheidsbeginsel moet er allereerst een grondslag zijn voor het verwerken van persoonsgegevens. Daarnaast moet er altijd een expliciete doelstelling worden verbonden aan de verwerking van deze gegevens.
Verwerken van persoonsgegevens is verboden, tenzij…
In principe is het verwerken van persoonsgegevens verboden op grond van artikel 6 AVG, tenzij er een grondslag is hiervoor. Alles wat een overheidsinstantie doet met persoonsgegevens, van kijken naar tot doorsturen, valt onder het verwerken van persoonsgegevens. Het beheren van contactpersonen op een genodigdenlijst valt hier dus ook onder. De grondslag van verwerken kan toestemming zijn, maar het verwerken van persoonsgegevens kan ook noodzakelijk zijn om aan een wettelijke verplichting te voldoen.
Wanneer worden persoonsgegevens verwerkt?
Onder een persoonsgegeven kan worden verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 4 lid 1 AVG). Een natuurlijk persoon is identificeerbaar wanneer hij of zij direct of indirect kan worden geïdentificeerd. Alles wat met deze persoonsgegevens gebeurt, valt onder het verwerken van persoonsgegevens. De definitie van verwerken staat in artikel 4 lid 2 AVG. Voorbeelden zijn het bewaren, delen, verzamelen, ordenen, bekijken, analyseren, etc. van persoonsgegevens. Het gebruiken, bewaren, inzien of verstrekken van de genodigdenlijst is een verwerking van persoonsgegevens in de zin van de AVG.
Verwerkingsbeginselen
In artikel 5 AVG worden de zogenaamde verwerkingsbeginselen met betrekking tot persoonsgegevens neergelegd. Volgens deze beginselen moeten persoonsgegevens onder andere:
- rechtmatig, behoorlijk en transparant verwerkt worden;
- voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en niet verder op een met deze doeleinden onverenigbare wijze worden verwerkt. Met andere woorden, er moet doelbinding zijn. De verwerking moet noodzakelijk zijn voor het welbepaalde en uitdrukkelijk omschreven doel. De gemeente mag een genodigdenlijst dus niet bewaren omdat het ‘later nog wel eens van pas zou kunnen komen’. Het doel is hier onvoldoende specifiek.
- het aantal gegevens dat verzameld wordt, moet beperkt worden tot wat noodzakelijk is voor de doeleinden. Dit heet minimale gegevensverwerking en omvat de principes van proportionaliteit (in relatie tot het doel) en subsidiariteit (kan het met minder persoonsgegevens dan moet het met minder persoonsgegevens).
Rechtmatigheid
Hoewel zorgvuldig met persoonsgegevens omgaan altijd een voorwaarde is voor gegevensbewerking, moet er allereerst altijd een zogenaamde grondslag zijn voor het verwerken van deze gegevens, voordat een toets op de zorgvuldigheidsnorm plaatsvindt. De meest gebruikte grondslagen door decentrale overheden zijn de grondslagen genoemd onder artikel 6 a (verwerking waarvoor de betrokkene toestemming heeft gegeven), c (verwerking waarvoor een wettelijke verplichting is) en e (of verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag) van de AVG.
Toestemming
De voor verwerking verantwoordelijke overheid (in dit geval de gemeente) moet kunnen aantonen dat de betrokkene (diegene van wie de persoonsgegevens verwerkt worden) toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegeven (artikel 7 AVG). Het verzoek om toestemming moet in begrijpelijke en gemakkelijk toegankelijke vorm aangeboden worden, en in duidelijke en eenvoudige taal. Daarnaast kan de betrokkene de toestemming te allen tijde intrekken. De toestemming moet bovendien vrijelijk gegeven zijn. Wanneer er sprake is van een afhankelijkheidsrelatie tussen overheid en burger, wordt de toestemming geacht niet vrijelijk te zijn gegeven (rechtsoverweging 43). Binnen het sociaal domein blijkt toepassing van dit toestemmingsvereiste een lastig uitvoerbare grondslag.
Genodigdenlijst
Voor het verwerken van persoonsgegevens van mensen voor op een genodigdenlijst, is toestemming vereist. Het doel van verwerking is het organiseren en administreren van de bijeenkomst.
Wettelijke verplichting
Een andere grondslag wanneer het verwerken van persoonsgegevens wordt toegestaan, is wanneer de verwerking van persoonsgegevens noodzakelijk is om aan een wettelijke verplichting die op een gemeente of andere decentrale overheid rust te voldoen.
Doelbinding
Wanneer een gemeente persoonsgegevens verzamelt, moet dit worden gedaan voor ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’. Daarnaast mogen deze persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden (artikel 5 lid b AVG). Wanneer de gemeente toestemming heeft gevraagd om contactpersonen op de hoogte te houden van interessante bijeenkomsten omtrent privacy, mogen zij deze lijst met contactpersonen niet gebruiken om een bericht over gemeentebelastingen te sturen.
Deze verwerkingsdoeleinden moeten altijd aan de betrokkene worden verstrekt (artikel 13 AVG). Ook moet de betrokkene op de hoogte zijn van de grondslag waarop de persoonsgegevens worden verzameld, als deze gegevens direct bij de betrokkene worden ingezameld. Echter, ook wanneer de persoonsgegevens niet direct van de betrokkene zijn verkregen, moet de betrokkene op de hoogte worden gebracht van de verwerkingsdoeleinden.
Wanneer in casu de verwerkingsdoeleinden voor het bijhouden van een genodigdenlijst het organiseren en administreren van de bijeenkomst is, moeten deze doeleinden openbaar gemaakt worden.
Verenigbaarheid?
Wanneer de verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, uitgevoerd wordt en de grondslag niet op toestemming berust, is het mogelijk dat er toch geen nieuwe grondslag nodig is. De verwerking is in een dergelijk geval toegestaan indien dit verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld (artikel 6 lid 4 AGV).
Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke (gemeente in dit geval), onder meer rekening houden met:
- een eventueel verband tussen de aanvankelijke doeleinden en de nieuwe doeleinden van de voorgenomen verdere verwerking;
- het kader waarin de gegevens zijn verzameld (wat is de relatie tussen de betrokkene en de gemeente);
- de aard van de persoonsgegevens (zijn er bijzondere persoonsgegevens betrokken bij de verwerking);
- de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen (hoe wordt de betrokkene geraakt bij verdere verwerking);
- het bestaan van passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.
Genodigdenlijsten worden verzameld op basis van toestemming. Verwerkingen op basis van toestemming vallen niet onder artikel 6 lid 4. Echter, wanneer de verwerking plaatsvond op basis van het voldoen aan een wettelijke grondslag, kan de gemeente wel onderzoeken of het nieuwe doel voor verwerken verenigbaar kan zijn met het aanvankelijke doel.
Toestemming en doelbinding:
Genodigdenlijsten worden gemaakt op basis van toestemming. Wanneer de grondslag toestemming is, moet de toestemming gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend.
Oftewel, de gemeente heeft toestemming nodig voor de verdere verwerking van de genodigdenlijst die niet volgt uit het oorspronkelijke doel, het organiseren en administreren van de bijeenkomst. Het toezenden van een verslag van de bijeenkomst of het uitnodigen voor een vervolgbijeenkomst staat in verband met het oorspronkelijke doel. De genodigdenlijst mag hiervoor gebruikt worden, zonder opnieuw toestemming te vragen. Deze lijst gebruiken om informatie te sturen voor een heel ander onderwerp dan waar de bijeenkomst over ging, heeft geen verband met het oorspronkelijke doel voor verwerking van gegevens. Kortom: er is dan opnieuw toestemming vereist, tenzij er een wettelijke grondslag voor verwerken is.
Meer informatie
Privacy: de Algemene verordening gegevensbescherming, Kenniscentrum Europa decentraal
Verwerken van persoonsgegevens, Kenniscentrum Europa decentraal
Verplichtingen verantwoordelijke, Kenniscentrum Europa decentraal
Meer weten over dit onderwerp?
Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal: