Privacy Tool Oude Persoonsgegevens Nieuwe Doelen

Een diagnosticerend hulpmiddel voor de praktijk bij een voorgenomen nieuw gebruik van reeds verzamelde persoonsgegevens

Deze tool:

  • richt zich op het voorgenomen gebruik van reeds verzamelde persoonsgegevens met een nieuw doel
  • helpt bij het maken van een eerste inschatting van de geoorloofdheid van dit voorgenomen nieuw gebruik, waaronder het koppelen, van reeds (rechtmatig) verzamelde persoonsgegevens door overheidsorganisaties
  • gaat dus niet over het aanleggen van nieuwe verzamelingen persoonsgegevens en niet over het vaststellen of gegevens persoonsgegevens zijn
  • geeft een indicatie over de toelaatbaarheid, een eerste diagnose, niet minder maar vooral ook niet meer
  • is tot stand gekomen in een samenwerking tussen Geonovum en VIAG

Gebruik is simpel:

  • vul de 36 vragen in
  • sla je antwoorden ieder moment op om later weer door te gaan
  • exporteer je antwoorden en resultaat in een rapport.

Naar de tool
i
 Lees meer

De tool

De tool helpt je bij het maken van de inschatting of een voorgenomen verwerking van reeds verzamelde persoonsgegevens toegestaan is. Die inschatting maak je door onderstaande vragenlijst in te vullen.

Lees meer over de tool

Voorvragen

Waarom deze voorvragen?

Om te voorkomen dat je alle vragen van de tool afwerkt en dan pas tot de ontdekking komt dat dat eigenlijk helemaal niet nodig was geweest, doe je er goed aan eerst een aantal voorvragen te beantwoorden. Op basis van de uitkomsten kan je vaststellen of je de tool uberhaupt nodig hebt en ook of je voorgenomen nieuwe gebruik een kans maakt toegestaan te zijn onder de Wbp.

Start de voorvragen Nadere uitleg voorvragen

A. De gegevens die ik opnieuw wil verwerken zijn persoonsgegevens.
Artikel 9 Wbp - en in feite de hele Wbp - is uiteraard alleen van toepassing als de reeds verzamelde gegevens (die je voor het nieuwe doel wil gebruiken), persoonsgegevens bevatten. Let op: gegevens zijn sneller persoonsgegevens dan je denkt! Mocht je twijfelen of dit het geval is, lees dan de uitgebreide beschrijving van een persoonsgegeven.
De gegevens zijn geen persoonsgegevens dus de Wbp is niet van toepassing. Je kunt stoppen met invullen.
Ga door naar vraag B
B. Ik zit in de situatie dat ik persoonsgegevens die al eerder zijn verzameld zou willen gebruiken voor een nieuw doel.
De tool ziet alleen op deze situatie: gebruik van reeds verzamelde persoonsgegevens met een nieuw doel. Verzamel je nieuwe gegevens dan is Artikel 9 Wbp niet van toepassing, althans niet op de nieuw verzamelde gegevens (wel op de eventuele reeds bestaande gegevens die je voor een ander doel wil gaan gebruiken).
Je zit niet in een artikel 9 Wbp situatie en het heeft dus geen zin om deze tool verder te gebruiken. Je kan stoppen met invullen.
Ga door naar vraag C
C. Bij het verwerken van deze persoonsgegevens voor het nieuwe doel beantwoord ik deze vragen ten behoeve van de verantwoordelijke
Als je hebt vastgesteld dat de Wbp en Artikel 9 Wbp van toepassing is op de voorgenomen gegevensverwerking, moet je je afvragen welke rol je daarin hebt. De Wbp legt namelijk (vooral) verplichtingen op aan de zogenaamde ‘verantwoordelijke’. Beantwoord je dus deze vragen voor de verantwoordelijke? Volgens de Wbp is de verantwoordelijke 'degene is die het doel en de middelen van verwerking vaststelt'. Concreet betekent dat dat als jij (althans de juridische entiteit waarvoor je deze vragen beantwoordt) degene bent die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, dan heb je te maken met de verantwoordelijke. Twijfel je daarover, kijk dan in de begrippenlijst voor een uitgebreide beschrijving van het begrip ‘verantwoordelijke’. In gemeenteland is dit, in de regel, het college van B&W en bij ministeries is dit de Minister.
Degene voor wie je de vragen beantwoordt, is niet de verantwoordelijke en er rusten dus geen Wbp verplichtingen op je. Je kan dus stoppen met invullen.
Ga door naar vraag D
D. Ten tijde van het verzamelen van de gegevens voor het oorspronkelijke doel is aan de betrokkene toegezegd dat de gegevens voor geen enkel ander doel gebruikt zouden worden.
Als bij de verzameling van de gegevens met de betrokkene is afgesproken dat de persoonsgegevens niet voor een ander doel gebruikt worden, dan moet deze afspraak nageleefd worden. Dat betekent dat de voorgenomen verwerking niet is toegestaan, tenzij deze gebaseerd kan worden op art. 43 Wbp. Het gaat daarbij om hele zware gevallen: verwerkingen in het kader van veiligheid van de Staat, voorkoming van strafbare feiten etc. Hiervan zal niet snel sprake zijn.
Ga door naar vraag E
De voorgenomen verwerking is niet toegestaan, tenzij deze gebaseerd kan worden op art. 43 Wbp. Het gaat daarbij om hele zware gevallen: verwerkingen in het kader van veiligheid van de Staat, voorkoming van strafbare feiten etc. Hiervan zal niet snel sprake zijn. Anders gezegd: als je deze vraag met 'ja' hebt beantwoord, is de kans erg groot dat de voorgenomen verwerking op voorhand niet is toegestaan. Je doet er goed aan dat eerst te checken bij een Wbp-expert.
E. Betreft het een verwerking van de persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden en heeft de verantwoordelijke de nodige voorzieningen getroffen om ervoor te zorgen dat de verdere verwerking ook echt uitsluitend voor dit doel geschiedt?
Artikel 9 lid 3 Wbp bevat een uitzondering op de hoofdregel dat een verwerking met een nieuw doel is toegestaan mits deze maar niet onverenigbaar is: als het gaat om een verwerking ten behoeve van zuiver historische, statistische of wetenschappelijke doelen en heeft dat verantwoordelijke er ook voor gezeord dat dit daadwerkelijk het enige doel is, dan is de vewerking toegestaan, ongeacht of het oorspronkelijke en nieuwe doel (on)everenigbaar zijn. nog verder toelichten.
Ga door naar vraag F
Als de persoonsgegevens voor deze doelen verwerkt gaan worden, dan is de voorgenomen verwerking toegestaan, onder de voorwaarden van artikel 9 lid 3 Wbp, en kan je stoppen met invullen.
F. De voorgenomen verwerking valt onder een geheimhoudingsplicht, bijvoorbeeld uit hoofde van ambt, beroep of onder een wettelijk voorschrift die de voorgenomen verwerking verbiedt
Artikel 9 lid 4 Wbp bevat een uitzondering op de hoofdregel dat een verwerking met een nieuw doel is toegestaan mits deze maar niet onverenigbaar is: als er een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift ligt, is dit nooit toegestaan.
Ga door naar vraag G
Als de persoonsgegevens onder een geheimhoudingsplicht vallen - denk daarbij bijvoorbeeld aan het beroepsgeheim van medici - of als een wettelijke regeling bepaald dat de persoonsgegevens niet voor een ander doel gebruikt mogen worden. Zo legt bijvoorbeeld de Wet maatschappelijke ondersteuning, specifieke geheimhoudingsplichten op.
G. De persoonsgegevens die ik voor het nieuwe doel wil verwerken bevatten gegevens over: godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
Sommige persoonsgegevens zijn zeer gevoelig van aard. De Wbp noemt dit ‘bijzondere persoonsgegevens’. Verwerking van deze persoonsgegevens, vooral ook voor een nieuw doel, is niet toegestaan, tenzij de betrokkene uitdrukkelijke toestemming heeft gegeven of er sprake is van een zwaarwegend (algemeen) belang als beschreven in artikel 23 Wbp. Let op: dit zijn niet de enige gegevens die als gevoelig kunnen worden ervaren door de betrokkene (met de vragen in onderdeel III van de tool kan je dit nader bepalen). Deze vraag komt overigens terug in de vragen onder ‘de aard van de gegevens’ (zie hierna onderdeel III).
Ga door naar vraag H
Het is het raadzaam eerst met een Wbp-expert te overleggen: de kans is heel groot dat de voorgenomen verwerking niet is toegestaan. Je kan dan dus - vooralsnog - stoppen met het invullen van de vragenlijst.
H. De voorgenomen verwerking is te baseren op een van de in artikel 8 omschreven verwerkingsgronden.
Iedere verwerking van persoonsgegevens, waaronder de voorgenomen onder artikel 9 Wbp, moet gebaseerd zijn op tenminste één van de in artikel 8 Wbp limitatief omschreven verwerkingsgronden. De belangrijkste zijn (geparafraseerd):
  • ondubbelzinnige toestemming van de betrokkene;
  • de noodzaak daartoe op grond van een (te sluiten) overeenkomst;
  • een wettelijke verplichting dan wel de uitvoering van een publiekrechtelijke taak die daartoe noopt;
  • de aanwezigheid van een gerechtvaardigde belang van de verantwoordelijke dat boven het belang van de betrokkene prevaleert.
Binnen de overheid zal de grondslag overigens dikwijls gebaseerd kunnen worden op een publiekrechtelijke taak.
De Wbp vereist een grondslag voor verwerking. Als je deze niet hebt, is de voorgenomen verwerking niet toegestaan en kan je hier stoppen met invullen.
Ga door naar de volgende stap, de intake vragen.

Intake

De 6 intake-vragen

Als je bij de beantwoording van de voorvragen nergens ‘eruit gevallen bent’ - ben je dat wel, dan is of de Wbp in zijn geheel, of art 9 Wbp niet van toepassing of het is zeer onwaarschijnlijk dat je voorgenomen nieuwe gebruik toegestaan is - dan ben je aangeland op het punt dat je met behulp van de tool kunt gaan inschatten of het voorgenomen nieuwe gebruik toegestaan zal zijn onder artikel 9 Wbp. Om deze inschatting te maken moet je eerst een aantal 'intake-vragen' beantwoorden. Hiermee trek je een aantal strakke contouren rond de gegevens, de grondslagen, de doelen en de gebruikers. De antwoorden die je hier geeft moet je dus steeds meenemen bij de beantwoording van de vragen die daarna komen: ze vormen dus het uitgangspunt.

Start intakevragen Nadere uitleg intakevragen

Uiteraard is het heel belangrijk de persoonsgegevens goed te duiden. Let op, dit moet je dus doen voor alle verzamelingen persoonsgegevens die je wil gebruiken voor de voorgenomen verwerking. Ter inspiratie kan je hierbij kijken naar vraag 4 (en de toelichting daarop) van het officiele meldingsformulier vewerking persoonsgegevens van de Autoriteit Persoonsgegevens.
Beschrijf, wederom voor alle verzamelingen persoonsgegevens die voor het nieuwe doel wil gaan gebruiken, welke positie je daarbij hebt. Dat kan dus zijn: verantwoordelijke, mede-verantwoordelijke, bewerker, of je hebt geen band met die (specieke) persoonsgegevens. Mocht je twijfelen over de betekenis van deze begrippen, lees dan bij 'wat is je rol' een uitgebreide beschrijving van dat begrip. Ter inspiratie kan je hierbij kijken naar vragen 1, 2 en 3 (en de toelichtingen daarop) van het officiele meldingsformulier vewerking persoonsgegevens van de Autoriteit Persoonsgegevens.
De reeds verzamelde persoonsgegevens hadden slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen mogen worden verzameld, aldus art 7 Wbp. Deze doelen moeten dus reeds vastgelegd zijn. Bij gemeentes zullen dit dus heel vaak de taken zijn die ze uitvoeren op basis van wettelijke voorschriften, zoals de gemeentewet, of sectorale wetten zoals bijvoorbeeld de wet Wmo. Indien meerdere doelen zijn dan hadden die allemaal apart moeten worden beschreven. Deze informatie moet dus reeds (binnen je organisatie (voor zover het om eigen persoonsgegevens gaat)) geregistreerd zijn. Dit is dus een kwestie van 'kopieeren' (als het goed is). Bij 'eisen die de Wbp stelt aan doelen en grondslagen' kan je hier meer over lezen. Ter inspiratie kan je hierbij kijken naar vraag 5 (en de toelichting daarop) van het officiele meldingsformulier vewerking persoonsgegevens van de Autoriteit Persoonsgegevens.
Ook het doel van de voorgenomen verwerking moet uiteraard vastgelegd worden. Immers, anders kunnen het oorspronkelijke doel en het nieuwe doel niet met elkaar vergeleken worden (en kan dus niet vastgesteld worden of er sprake is van 'onverenigbaarheid'). Bij 'eisen die de Wbp stelt aan doelen en grondslagen' kan je hier meer over lezen. Ter inspiratie kan je hierbij kijken naar vraag 5 (en de toelichting daarop) van het officiele meldingsformulier vewerking persoonsgegevens van de Autoriteit Persoonsgegevens.
Bij deze vraag moet worden ingevuld aan welke ontvangers of categorieën van ontvangers de gegevens worden verstrekt. De Wbp verstaat onder het begrip ontvanger: degene aan wie de persoonsgegevens worden verstrekt. Ter inspiratie kan je hierbij kijken naar vraag 7 (en de toelichting daarop) van het officiele meldingsformulier vewerking persoonsgegevens van de Autoriteit Persoonsgegevens.
Omdat het om een nieuwe verwerking gaat dient er een van de grondslagen genoemd in artikel 8 van de Wbp te gelden. Bij 'eisen die de Wbp stelt aan doelen en grondslagen' kan je hier meer over lezen.

(on)verenigbaarheid

Nadat je de feiten hebt vastgelegd, kan je overgaan tot het maken van de inschatting of je voorgenomen gebruik niet onverenigbaar is in de zin van artikel 9 Wbp. Die inschatting baseer je op de scores die je maakt op de vijf elementen die artikel 9 Wbp noemt, te weten:

  1. De verwantschap van de doelen
  2. De aard van de gegevens
  3. De gevolgen van de verwerking
  4. De wijze van verkrijging van de gegevens en
  5. De waarborgen.

In de lijst hieronder zie je de 35 te beantwoorden vragen, onderverdeeld over deze 5 elementen. Deze (on)verenigbaarheidsvragen zijn geformuleerd in de vorm van stellingen. Als de stelling op je van toepassing is, beantwoord je de vraag met ‘ja’ (en zo niet met ‘nee’) door het relevante boxje aan te vinken. Iedere vraag bevat steeds een toelichting, op te vragen via de 'Toelichting op vraag'-knop.

De tool converteert vervolgens je antwoorden, na weging, in een totaalscore die aangeeft hoe je voorgenomen gebruik scoort op de '(on)verenigbaarheidstoets' van artikel 9 Wbp. Deze score wordt afgebeeld in een grafiek en geeft een indicatie over de toelaatbaarheid van je voorgenomen gebruik en doet handreikingen hoe een ‘te lage’ score verbeterd kan worden.

A. Verwantschap

Wat wordt hiermee bedoeld?

Het eerste element ter beoordeling of een voorgenomen verwerking van persoonsgegevens niet onverenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld, betreft de verwantschap van het oorspronkelijke en het nieuwe doel. Wat wordt er bedoeld met verwantschap en hoe kun je dit beoordelen? Hoe dichter deze twee doelen bij elkaar liggen (oftewel hoe meer verwant ze zijn), hoe eerder de verdere verwerking verenigbaar is met het doel waarvoor de gegevens zijn verzameld.

1. De verantwoordelijke voor de voorgenomen verwerking onder het nieuwe doel is dezelfde als de verantwoordelijke voor de verwerking onder het oorspronkelijke doel.
Deze stelling geeft een indicatie in hoeverre de gegevens 'onder hetzelfde dak' blijven, hetgeen weer een indicatie geeft van de verwantschap op een hoger niveau. Zo is het waarschijnlijker dat er eerder verwantschap bestaan tussen oorspronkelijke en nieuwe verwerkingen binnen de zelfde organisatie, dan tussen verwerkingen door verschillende organisaties.
2. Het doel van zowel de oorspronkelijke als de nieuwe verwerking zijn gericht op dezelfde en/of wel sterk verbonden thema’s of sectoren.
Deze stelling geeft een indicatie van de verbondenheid van het werkgebied waarbinnen het oorspronkelijke en het nieuwe doel (of doelen) gelegen zijn. Het is waarschijnlijk dat in het geval de thema's en/of sectoren - denk aan leefbaarheid, zorg publieke ruimte, bereikbaarheid binnenstad, stimulering economische activiteiten - de verwantschap groter zal zijn.
3. Het doel van de nieuwe verwerking draagt bij aan de realisatie van het doel van de oorspronkelijke verwerking.
Deze stelling geeft een indicatie van de 'opgelijndheid' van de doelen. Naarmate het doel van de voorgenomen verwerking bijdraagt aan het behalen van het doel van oorspronkelijke verwerking, is de verwantschap groter. Denk bijvoorbeeld aan een voorgenomen verwerking van verzamelde meldingen overlast voor het formuleren van beleid overlastpreventie.
4. De grondslag voor de oorspronkelijke verwerking is dezelfde als de grondslag voor de voorgenomen verwerking.
Deze stelling geeft een indicatie van de verbondenheid van de grondslagen, die zijn neergelegd in artikel 8 van de Wbp. Het is waarschijnlijk dat in het geval de grondslagen hetzelfde zijn - beide bijvoorbeeld gebaseerd de noodzaak tot goede vervulling van een publiekrechtelijke taak - de verwantschap groter zal zijn.
5. Het is waarschijnlijk dat het gebruik van de gegevens voor het nieuwe doel voor de betrokkene in de lijn der verwachting ligt.
Ook het perspectief van de betrokkene is zeer belangrijk bij het bepalen van de verwantschap. Probeer bij de beantwoording van deze vraag in de huid van de betrokkene te kruipen: zou hij verrast zijn dat je zijn persoonsgegevens voor het voorgenomen doel wil gaan verwerken?

B. Aard van de gegevens

Wat wordt hiermee bedoeld?

Het tweede element van artikel 9 Wbp aan de hand waarvan je moet beoordelen of een nieuwe verwerking van gegevens niet onverenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn, betreft de aard van gegevens. Naarmate de aard van de gegevens meer 'bijzonder' is, zal verenigbaarheid van de voorgenomen verwerking met het oorspronkelijke doel (of doelen) kleiner zijn. Dat 'bijzondere' gaat overigens verder dan het wettelijke regime (art 16 Wbp noemt deze op): ook andere gegevens kunnen naar hun aard bijzonder zijn. Denk bijvoorbeeld aan informatie over iemands financiële positie, gegevens over minderjarigen en locatiegegevens van iemands mobiele telefoon. De groep van gegevens die door de Autoriteit Persoonsgegevens als gevoelig wordt aangemerkt, wordt overigens steeds breder (bijvoorbeeld gegevens die kunnen worden gebruikt in het kader van identiteitsdiefstal), zie https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken.pdf.

6. De te verwerken gegevens bevatten gevoelige gegevens in de zin van artikel 16 Wbp.
Artikel 16 Wbp bevat een stringenter regime voor zogenaamde bijzondere persoonsgegevens, dus bovenop de algemene verplichtingen van de Wbp. De hoofdregel daarbij is dat verwerking verboden is, tenzij aan zeer specifiek omschreven en zware eisen is voldaan. De gegevens waarvoor dit stringente regime geldt zijn gegevens over: godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
7. De te verwerken gegevens bevatten gegevens van minderjarigen.
Deze gegevens vallen weliswaar niet onder het regime van artikel 16 Wbp, maar worden wel als gevoelig beschouwd, omdat deze groep kwetsbaarder is dan volwassenen.
8. De te verwerken gegevens bevatten financiële gegevens van personen.
Deze gegevens vallen weliswaar niet onder het regime van artikel 16 Wbp, maar worden wel als gevoelig beschouwd, omdat financiële gegevens zeer bepalend zijn voor de wijze waarop iemand in het maatschappelijk verkeer wordt beoordeeld of behandeld.
9. De te verwerken gegevens bevatten BSN-gegevens.
Persoonsidentificerende nummers, zoals het BSN, vallen weliswaar niet onder het regime van artikel 16 Wbp, maar worden wel als gevoelig beschouwd, omdat ze direct en 1 op 1 een unieke relatie leggen met een natuurlijk persoon.
10. De betrokkene zal de verwerking van zijn gegevens als gevoelig beschouwen.
De perceptie van de betrokkene is een belangrijk aspect bij de beoordeling of de voorgenomen verwerking mag. Uiteraard gaat het hier om een inschatting van de verantwoordelijke en is het, tot op zeker niveau, enigszins koffiedik kijken. Probeer, om een inschatting te maken, in de huid te kruipen van de betrokkenen. Ook een inschatting van een collega kan hierbij helpen.
11. De te verwerken gegevens bevatten postcode 4-niveau gegevens.
Locatiegegevens, zoals postcode 4-niveau gegevens (1234 - dus de vier getallen van een postcode zonder de letters), kunnen iemand indirect identificeren. Schaalniveau speelt hierbij een heel belangrijke rol. Als gegevens van individuen worden gekoppeld aan locaties met een hoge mate van detail, wordt de impact op de persoonlijke levenssfeer hoger indien de mate van identificeerbaarheid hoger is.
12. De te verwerken gegevens bevatten postcode 6-niveau gegevens.
Locatiegegevens, zoals postcode 6-niveau gegevens (1234 AA - dus de 4 cijfers en de twee letters zonder het huisnummer), kunnen iemand indirect identificeren. Schaalniveau speelt hierbij een heel belangrijke rol. Als gegevens van individuen worden gekoppeld aan locaties met een hoge mate van detail, wordt de impact op de persoonlijke levenssfeer hoger indien de mate van identificeerbaarheid hoger is.
13. De te verwerken gegevens bevatten adresgegevens.
Locatiegegevens, zoals een adres uit de BAG (zie artikel 1 sub a Wet basisregistraties adressen en gebouwen), kunnen iemand indirect identificeren. Schaalniveau speelt hierbij een heel belangrijke rol. Als gegevens van individuen worden gekoppeld aan locaties met een hoge mate van detail, wordt de impact op de persoonlijke levenssfeer hoger indien de mate van identificeerbaarheid hoger is.
14. De te verwerken gegevens bevatten locatiegegevens in combinatie met een precieze tijdsindicatie
In combinatie met een relatief precieze tijdsindicatie - minuut, dag uur - worden locatiegegevens nog veel gevoeliger. De tijdsdimensie voegt veel informatie toe over de context waarin de persoon op die plaats was: het gegeven dat iemand op het marktplein is geweest is veel minder gevoelig dan dat iemand daar was ten tijde van een bijeenkomst van een extreme groepering (waarbij je je ook moet realiseren dat je uit die combinatie van gegevens gemakkelijk verkeerde conclusies kan trekken).
15. De context van de nieuwe verwerking maakt de mogelijke impact van de gegevens groter dan de context van de verwerking voor het oorspronkelijke doel.
Het voorgenomen gebruik kan ertoe leiden dat (een onderdeel van) de gegevens in een andere context terecht komen. Denk bijvoorbeeld aan parkeergegevens van voertuigen die voor fiscale opsporing gebruikt gaan worden.

C. Gevolgen van de verwerking

Wat wordt hiermee bedoeld?

Het derde element van artikel 9 Wbp aan de hand waarvan je moet beoordelen of een nieuwe verwerking van gegevens niet onverenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn, betreft de gevolgen die de verwerking van gegevens kan hebben voor de betrokkene. Welke implicaties heeft voorgenomen verwerking voor de persoon in kwestie? Naarmate de relatie tussen de verwerking en gevolgen directer zijn zal voorgenomen verwerking eerder onverenigbaar zijn. Dit geldt in nog sterkere mate als de gevolgen negatief kunnen uitpakken. Indien de gegevensverwerking niet leidt tot het nemen van een beslissing, zal er minder snel sprake van onverenigbaar gebruik van gegevens.

16. De voorgenomen verwerking vindt plaats ten behoeve van (de voorbereiding van) het maken van algemeen beleid
Naarmate de voorgenomen verwerking meer gericht is op het formuleren van algemeen beleid, in plaats van het voorbereiden en nemen van concrete beslissingen over individuele personen, zal deze minder snel onverenigbaar zijn.
17. De nieuwe verwerking is gericht op het nemen van concrete beslissingen over (een groep) aanwijsbare personen.
Spiegelbeeld van de vorige vraag: naarmate de voorgenomen verwerking meer gericht is op het voorbereiden en nemen van concrete beslissingen over individuele personen, in plaats van het formuleren van algemeen beleid, zal deze sneller onverenigbaar zijn.
18. De in de vorige vraag geïdentificeerde aanwijsbare persoon en/of groep van personen, zal een voordeel hebben bij de nieuwe verwerking.
De voorgenomen verwerking kan tot doel hebben betrokkenen voordeel te verschaffen. Denk hierbij aan het identificeren van personen die recht hebben op een subsidie. In zo'n geval zal de voorgenomen verwerking minder snel onverenigbaar zijn dan in het geval er nadelige gevolgen (kunnen) ontstaan voor betrokkenen.
19. De in de vorige vraag geïdentificeerde aanwijsbare persoon en/of groep van personen, zal mogelijk nadeel ondervinden van de nieuwe verwerking.
Spiegelbeeld van de vorige vraag: indien de voorgenomen verwerking nadelig kan uitpakken voor betrokkenen zal deze minder snel verenigbaar zijn. Denk hierbij aan het opsporen van fraude.

D. Wijze van verkrijgen van de gegevens

Wat wordt hiermee bedoeld?

Het vierde element van artikel 9 Wbp aan de hand waarvan je moet beoordelen of een nieuwe verwerking van gegevens niet onverenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn, betreft de wijze waarop de gegevens zijn verkregen (in het kader van de oorspronkelijke verzameling). Is er bijvoorbeeld sprake van verplichting tot gegevensverstrekking of is er sprake van vrijwilligheid. In het algemeen zal de beoordeling van de verenigbaarheid strenger moeten zijn als de betrokkene minder keuzevrijheid had. Ook de afspraken en voorwaarden waaronder de verstrekking heeft plaatsgevonden spelen uiteraard een rol. Bedenk daarnaast dat gegevens die op grond van een publiekrechtelijke verplichting zijn vergaard, niet zonder meer kunnen worden gebruikt voor privaatrechtelijke doeleinden. Dit is in beginsel onverenigbaar met het oorspronkelijk doel waarvoor zij zijn vergaard.

20. De gegevens zijn op grond van een publiekrechtelijke verplichting door de betrokkene verstrekt.
Indien de betrokkenen geen vrije keuze had al dan niet de gegevens te verstrekken voor de oorspronkelijke verwerking, dan zal de voorgenomen verwerking eerder onverenigbaar zijn, dan in het geval er een element van vrijwilligheid in zat. Denk hierbij aan het doen van OZB aangifte versus het verstrekken van gegevens in het kader van een gemeentelijke subsidieaanvraag.
21. De betrokkene was verplicht de gegevens beschikbaar te stellen ten behoeve van de verzameling voor het oorspronkelijke doel.
Naarmate de betrokkene meer keuzevrijheid heeft gehad al dan niet de gegevens te verstrekken (ter zake van de oorspronkelijke verwerking), zal de voorgenomen verwerking minder snel onverenigbaar zijn.
22. Ten tijde van de verzameling van de gegevens mocht(en) de betrokkene(n) er vanuit gaan dat de gegevens voor geen enkel ander doel (dan het oorspronkelijke doel) verwerkt zouden worden.
Uiteraard geldt dat de (gerechtvaardigde) verwachtingen van de betrokkenen een belangrijke rol spelen. Als deze er vanuit mochten gaan dat de voor het oorspronkelijke doel verzamelde gegevens niet later voor een ander doel gebruikt mochten worden, dan zal er eerder sprake zijn van onverenigbaarheid.
23. Bij het verzamelen van de gegevens voor het oorspronkelijke doel heeft de betrokkene de mogelijkheid gehad verwerking voor een ander doel uit te sluiten.
Hier mag niet te veel uit afgeleid worden: als de betrokkene niet van deze mogelijkheid gebruik heeft gemaakt, dan wil dat uiteraard niet zeggen dat de voorgenomen verwerking mag. Niettemin geeft dit wel een lichte indicatie, met name indien de gegevens vrijwillig verstrekt zijn.

E. De waarborgen

Wat wordt hiermee bedoeld?

De Wbp stelt dat ook de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen moet worden meegenomen bij het bepalen of een nieuw doel niet onverenigbaar is. Passende waarborgen kunnen op technisch en organisatorisch gebied worden getroffen. Welke waarborgen passend zijn zal steeds per concreet geval moeten worden beoordeeld. Het voorzien in passende waarborgen maakt het mogelijk om een minder goede score op de voorgaande elementen (enigszins) te ‘compenseren’ en verdere verwerking aldus toch niet onverenigbaar te maken. Het is echter niet zo dat het enkel scheppen van waarborgen op zich voldoende kan zijn om onverenigbaarheid op te heffen.

24. Voorafgaand aan de voorgenomen verwerking heeft de verantwoordelijke de betrokkene hierover geïnformeerd.
Een dergelijk handelen draagt positief bij aan de verenigbaarheid.
25. De betrokkene heeft de mogelijkheid gehad vooraf bezwaar te maken tegen de voorgenomen verwerking van de gegevens.
Als de verantwoordelijke de betrokkene expliciet de mogelijkheid heeft gegeven bezwaar te maken tegen de voorgenomen verwerking - en deze heeft dat niet gedaan - dan draagt dat positief bij aan de verenigbaarheid. Echter, het feit dat de betrokkene dat bezwaar niet gemaakt heeft, mag je nooit afleiden dat daarmee de voorgenomen verwerking altijd gelegitimeerd is.
26. De gegevens worden vernietigd zodra de voorgenomen verwerking heeft plaatsgevonden.
Een dergelijk handelen draagt positief bij aan de verenigbaarheid.
27. De verantwoordelijke is verplicht periodiek (bijvoorbeeld jaarlijks) te rapporteren over de nieuwe verwerking (bijvoorbeeld aan Burgemeester & Wethouders).
Een dergelijke verplichting - en de nakoming daarvan - draagt positief bij aan de verenigbaarheid.
28. De verantwoordelijke is verplicht de nieuwe verwerking te staken zodra de betrokkene daarom verzoekt.
Een dergelijke verplichting - en de nakoming daarvan - draagt positief bij aan de verenigbaarheid.
29. De nieuwe verwerking valt onder een bestaande gedragscode in de zin van de Wbp.
Een branche of sector kan een gedragscode gebruiken voor de omgang met persoonsgegevens. Dit is een vorm van zelfregulering. Door een gedragscode op te stellen, maakt de branche of sector zelf de algemene normen uit de Wbp concreter. De Autoriteit Persoonsgegevens kan op aanvraag een goedkeurende verklaring afgeven voor een gedragscode. De toepasselijkheid van een dergelijke code draagt positief bij aan de verenigbaarheid.
30. De nieuwe verwerking leidt niet automatisch tot een besluit over de betrokkene(n).
De aanwezigheid van extra checks and balances is een belangrijke waarborg. Dat betekent dus dat op basis van de uitkomsten van de voorgenomen verwerking niet klakkeloos beslissingen worden genomen, maar deze uitkomsten slechts een indicatie zijn en aan de hand daarvan nader onderzoek wordt ingesteld om de indicaties te controleren.
31. Bij de verantwoordelijke is een functionaris voor de gegevensbescherming (FG) aangesteld.
Organisaties kunnen er ook voor kiezen binnen hun eigen muren een toezichthouder in te stellen: de functionaris voor de gegevensbescherming, kortweg ‘een FG’. Deze FG heeft op grond van de Wbp (geregeld in artikel 62 Wbp en volgende) een onafhankelijke positie en heeft als taak ervoor zorgen dat deze regeling netjes wordt nageleefd. Voorts is de FG aanspreekpunt voor alle betrokkenen, de natuurlijke personen waarvan de organisatie persoonsgegevens verwerkt. De aanwezigheid van een FG draagt uiteraard positief bij aan de verenigbaarheid.
32. De gegevens zijn geanonimiseerd, gecodeerd of versleuteld (of beschermd via een soortgelijke techniek), zodat onbevoegde derden nimmer de gegevens kunnen terugleiden naar de betrokkenen.
Een dergelijke beveiliging voorkomt dat onbevoegden de gegevens naar personen kunnen herleiden. Dit draagt dus positief bij aan de verenigbaarheid. Nota bene: de bevoegde gebruikers kunnen dus wel herleiden (anders zou het immers niet meer om persoonsgegevens gaan en heb je deze tool niet nodig).
33. De gegevens kunnen alleen worden gelezen (en dus niet worden aangepast en/of gekopieerd).
Het treffen van dergelijke maatregelen draagt uiteraard positief bij aan de verenigbaarheid.
34. De gegevens kunnen alleen op een controleerbaar terrein (bijvoorbeeld op het gemeentehuis) worden gebruikt.
De aanwezigheid van deze fysieke restrictie draagt uiteraard positief bij aan de verenigbaarheid.
35. Binnen de organisatie van de verantwoordelijke zijn schriftelijke afspraken gemaakt met de individuele gebruikers over het gebruik van de gegevens (niet alleen wie heeft toegang waartoe en wat mag iemand met de gegevens, maar bijvoorbeeld ook over de vertrouwelijkheid van de informatie).
De aanwezigheid van dergelijke schriftelijk vastgelegde procedures draagt uiteraard positief bij aan de verenigbaarheid.

De uitkomsten

De uitkomsten van je antwoorden op de (on)verenigbaarheidsvragen en de interpretatie daarvan

In de grafiek hieronder en de daarbij horende toelichting zie je de scores die je gehaald hebt op de 5 elementen van artikel 9 lid 2 Wbp aan de hand waarvan je kan beoordelen of je voorgenomen verwerking van gegevens niet onverenigbaar is met het oorspronkelijke doel waarvoor de gegevens verzameld zijn.

Je scores zijn weergegeven op een schaal van 0 - 100%. Een score van 100% betekent dat je op dat element maximaal hebt gescoord en je voorgenomen verwerking, in ieder geval op dat element, zeker verenigbaar zal zijn.

0%
25%
50%
75%
100%
A. Verwantschap
0%
Je score op 'verwantschap' ligt onder de 50%. Dat betekent dat het doel van de beoogde verwerking en het doel waarvoor de gegevens destijds zijn verkregen relatief laag is. Zoals de score er nu voor staat is het waarschijnlijk dat, in de huidige vorm, de voorgenomen verwerking niet is toegestaan, tenzij de gevolgen voor de betrokkenen minimaal, dan wel slechts positief kunnen uitpakken (vooropgesteld dat je op de andere elementen wel bovengemiddeld scoort). Om het gebrek aan verwantschap te repareren, zou je kunnen denken aan het aanpassen van het beoogde doel: als je deze dichterbij het doel waarvoor de gegevens zijn verkregen weet te brengen, zal je op dit element beter scoren. Een andere mogelijkheid is uiteraard de persoonsgegevens in de verwerking te reduceren of zelfs geheel te verwijderen. In het laatste geval heb je niets meer te maken met de Wbp.
Je score op 'verwantschap' ligt boven 50%. Naarmate deze dichter bij de 100% zit, scoor je op dit element ruim voldoende. Dit is goed nieuws, want het is een belangrijk element.
B. Aard van de gegevens
0%
Je score op 'aard van de gegevens' ligt onder de 50%. Met name als je lage score veroorzaakt wordt door de aanwezigheid van bijzondere persoonsgegevens (zowel die van artikel 16 Wbp als de 'buitencategorie' - over minderjarigen, finaciele gegevens etc.), dan is het zeer waarschijnlijk dat de voorgenomen verwerking niet is toegestaan. Dit is slechts te repareren door alsnog expliciete toestemming te vragen voor de nieuwe verwerking, vooropgesteld dat deze verwerking op zich toegestaan is onder de Wbp (let op artikel 16 en volgende bevat een verzwaard regime voor dit soort gegevens). Een andere mogelijkheid is uiteraard deze categorie persoonsgegegvevens te verwijderen en de vragen nog een keer in te vullen.
Je score op 'aard van de gegevens' ligt boven de 50%. Naarmate je dichter bij de 100% zit, is het waarschijnlijker dat dit element geen belemmering vormt voor de voorgenomen verwerking.
C. Gevolgen van de verwerking
0%
je score op 'gevolgen van de verwerking' ligt onder de 50%. Het is raadzaam om te kijken of je de gevolgen van de verwerking kan verzachten. Dit zal met name kunnen door extra waarborgen in te bouwen. Anders gezegd: een hoge score op element E (de waarborgen) kan een lage score op dit element enigszins compenseren. Denk hierbij aan het inbouwen van extra checks and balances om te voorkomen dat uitkomsten van de beoogde verwerking automatisch tot beslisssingen over personen leiden. Een andere mogelijkheid is uiteraard weer het gehalte van de persoonsgegevens te reduceren.
Je score op 'gevolgen van de verwerking' ligt boven de 50%. Naarmate je dichter bij de 100% zit, is het waarschijnlijker dat dit element geen belemmering vormt voor de voorgenomen verwerking.
D. Wijze van verkrijgen van de gegevens
0%
Je score op 'wijze van verkrijging van de gegevens' ligt onder de 50%. Dit element is eigenlijk ' moeilijk te repareren' omdat de gegevens in het verleden nu eenmaal op een bepaalde manier zijn verkregen en daar kan je nu niet veel meer aan doen. Wel kan je compenseren door extra waarborgen in te bouwen. Anders gezegd: een hoge score op element E (de waarborgen) kan een lage score op dit element enigszins compenseren. Denk hierbij aan het inbouwen van een hoge mate van transparantie richting betrokkenen en het scheppen van gemakkelijke bezwaarprocedures. Een andere mogelijkheid is uiteraard weer het gehalte van de persoonsgegevens te reduceren.
Je score op 'wijze van verkrijgen van de gegevens' ligt boven de 50%. Naarmate je dichter bij de 100% zit, is het waarschijnlijker dat dit element geen belemmering vormt voor de voorgenomen verwerking.
E. De waarborgen
0%
Je score op 'waarborgen' ligt onder de 50%. Het goede nieuws is dat dit element aanpasbaar is en je dus in staat bent de score te verhogen naar een aanvaarbaar niveau. Sterker nog: als je op andere elementen laag hebt gescoord kan een hoge score op dit element dit enigszins compenseren. De winst is vaak te halen in procesmatige en organisatorische maatregelen die dikwijls al toegepast worden binnen andere afdelingen. Denk daarbij bijvoorbeeld aan de afdeling onderzoek en statistiek en afdelingen die veel met persoonsgsgevens werken. Ga daar vooral te rade.
Je score op 'waarborgen' ligt boven de 50%. Naarmate je dichter bij de 100% zit, is het waarschijnlijker dat dit element geen belemmering vormt voor de voorgenomen verwerking.

Hoe zijn de uitkomsten verkregen?

De percentages zijn het resultaat van, uiteraard, je antwoorden op de vragen, maar ook van het belang van de individuele vragen binnen het element. De tool weegt namelijk het belang van iedere vraag. Er zijn drie categorieën vragen: categorie A telt 1 keer, categorie B telt 1,5 keer en categorie C telt 2 keer mee op het totaal. Deze weging is gebaseerd op de mening van enkele experts die bij het maken van de tool zijn geraadpleegd. Uiteraard is deze weging tot op enige hoogte arbitrair, maar hieraan valt niet te ontkomen.

Interpretatie van de uitkomsten

De tabel verbindt ook een aantal conclusies aan je scores op de verschillende elementen. Het kantelpunt van deze conclusies is gesteld op 50%. Uiteraard moet je hierbij in gedachten houden dat ook dit tot op enige hoogte arbitrair is. De conclusies bevatten ook aanbevelingen hoe je een lage score op een element kan verbeteren, mede in samenhang met de andere elementen.

Let wel, bij het formuleren van het eindoordeel – is het onverenigbaar of niet? – moet je de scores op de 5 elementen steeds allemaal in ogenschouw nemen en op basis daarvan een totaalbeoordeling maken. Het is dus niet zo dat één factor per definitie zwaarder weegt dan een andere. Het gaat om het totaalbeeld. Daar komt nog bij dat in concrete gevallen ook andere factoren een rol kunnen spelen. Niettemin na invulling van de tool heb je zeker een indicatie van (on)verenigbaarheid en heb je inzicht waar verbeteringen mogelijk zijn.

Wat zijn de vervolgstappen?

Het invullen van de tool hoort bij het begin van het proces van inschatting van toelaatbaarheid van de voorgenomen verwerking. Het helpt bij het beantwoorden van de voorvragen en geeft een indicatie over de toelaatbaarheid. Een logische vervolgstap op het invullen van de tool is een terugkoppeling naar de beleidsverantwoordelijke dan wel naar een Wbp-expert, zoals een FG, om de uitkomsten nader te toetsen en, zo nodig, maatwerkoplossingen te vinden. Deze kan bijvoorbeeld bestaan uit het anonimiseren van persoonsgegevens, het verwijderen van bepaalde persoonsgegevens of het opschalen naar een hoger postcode niveau. Ook is het denkbaar alsnog naar een andere grondslag te zoeken door bijvoorbeeld (alsnog) toestemming te vragen aan de betrokkenen.

Begrenzingen van de tool

Uiteraard, het zij nog maar eens gezegd, is de tool geen panacee voor alle Wbp-kwalen: het levert slechts een indicatie en dwingt tot het beantwoorden van vragen die gesteld (en beantwoord) moeten worden voorafgaand aan een voorgenomen verwerking onder artikel 9 Wbp. Daarbij moet wel steeds in gedachten gehouden worden dat:

  • de Wbp nu eenmaal abstract is en ondanks de concretiseringslag die de tool maakt, het uiteindelijk gaat om een eigen inschatting;
  • die abstractie er ook toe leidt dat de adviezen om tekortkomingen op te lossen nimmer heel concreet kunnen worden.

Antwoorden van de intake vragen

Sluiten

Achtergrondinformatie en nadere toelichting

Iets meer over artikel 9 Wbp

Het voorgenomen gebruik van persoonsgegevens is toegestaan mits deze nieuwe verwerking niet onverenigbaar is met de doeleinden waarvoor de gegevens in eerste instantie zijn verkregen, aldus artikel 9 van de Wbp. De exacte tekst van (het relevante deel van) het artikel luidt:

  1. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
  2. Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het eerste lid, houdt de verantwoordelijke in elk geval rekening met:
    1. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen;
    2. de aard van de betreffende gegevens;
    3. de gevolgen van de beoogde verwerking voor de betrokkene;
    4. de wijze waarop de gegevens zijn verkregen en
    5. de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.

Uiteraard is dus de vraag wat ‘niet onverenigbaar’ dan precies inhoudt? Artikel 9 helpt daarbij een handje door in het tweede lid een vijftal elementen te duiden die gewogen moeten worden bij de vaststelling of de voorgenomen verwerking verenigbaar is met het oorspronkelijke doel. Je moet deze elementen steeds allemaal in ogenschouw nemen en op basis daarvan een totaalbeoordeling maken. Het is dus niet zo dat één factor per definitie zwaarder weegt dan een andere. Het gaat om het totaalbeeld. Daar komt nog bij dat in concrete gevallen ook andere factoren een rol kunnen spelen. Privacyregels kenmerken zich nu eenmaal door een abstracte karakter. Niettemin na invulling van de tool heb je zeker een goede indicatie van (on)verenigbaarheid en heb je inzicht waar verbeteringen mogelijk zijn.

Veel gebruikte begrippen

De Wbp bevat een aantal kernbegrippen, die dan ook veelvuldig in deze tool voorkomen. De wettelijke definities en hun vindplaatsen zijn opgenomen in de begrippenlijst.

Contouren van de regeling bescherming van persoonsgegevens

Complexe materie

De wereld van de bescherming van persoonsgegevens wordt met name bewoond door juristen. Privacyrecht kenmerkt zich door een hoog abstract karakter en is dan ook een echt specialisme geworden, dat voor de buitenstaander – zelfs het juridische soort daarvan – niet altijd gemakkelijk te doorgronden en toe te passen is. Dit gezegd zijnde, doen we hieronder niettemin een poging het recht rond bescherming van persoonsgegevens inzichtelijk te maken. Om de snelheid erin te houden doen we dat in een zeer gecomprimeerde vorm.

Verankering bescherming persoonsgegevens

Bescherming van persoonsgegevens behoort tot de zogenaamde ‘informationele privacy’: het recht te bepalen welke informatie over iemand aan anderen bekend is. Het recht op bescherming van persoonsgegevens ligt vast in de Grondwet, het Handvest van de Grondrechten van de Europese Unie en het Verdrag betreffende de werking van de Europese Unie. De Europese wetgever heeft voorts nadere regels gemaakt met betrekking tot de bescherming van locatie- en persoonsgegevens en wel in de ePrivacy Richtlijn (uit 2002, aangepast in 2009) en de algemene Privacy Richtlijn. Deze regels zijn grotendeels geïmplementeerd in de Telecommunicatiewet (Tw), respectievelijk de Wet bescherming persoonsgegevens (Wbp). De ePrivacy Richtlijn is een sectorspecifieke richtlijn die voorgaat op de algemene regels van de Privacyrichtlijn. Waar de ePrivacy Richtlijn niet voorziet, is de Privacy Richtlijn van toepassing, bij wijze van vangnet. Op dit moment wordt in Brussel druk gewerkt aan een nieuwe Europese regeling: de Privacyverordening. Het is nog onduidelijk of deze Verordening de eindstreep gaat halen en in welke vorm. Daarom wordt deze verder buiten beschouwing gelaten.

Privacyrichtlijn en Wet bescherming persoonsgegevens

De Privacy Richtlijn beoogt dataprotectieregels in de Europese Lidstaten te harmoniseren. Het geeft een algemeen kader voor verwerking van persoonsgegevens, dus ongeacht de sector waarin dit plaatsvindt. Het bevat een aantal kernbegrippen die vrij abstract van karakter zijn, zoals ‘persoonsgegevens’ en ‘verwerking’. Dit geldt ook voor de personae dramatis waarop de Richtlijn ziet – de verantwoordelijke, de bewaarder, de betrokkene – waaraan dan weer specifieke verantwoordelijkheden en plichten respectievelijk rechten verbonden zijn. In Nederland is de Europese Privacy Richtlijn geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp).

Kernbegrippen in de Wbp

De Wbp is van toepassing op verwerking van persoonsgegevens door een (vestiging van een) verantwoordelijke in Nederland. Daarmee hebben we direct de kernbegrippen te pakken:

  • persoonsgegevens: gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Hieronder vallen ook gegevens ‘die mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld’ dienen te worden aangemerkt als persoonsgegevens;
  • betrokkene: de natuurlijke persoon op wie persoonsgegevens betrekking hebben;
  • verwerken: goed beschouwd vallen alle handelingen hieronder van creatie tot vernietiging van persoonsgegevens;
  • verantwoordelijke: degene die het doel van en de middelen voor de verwerking vaststelt.
Belangrijkste voorwaarden en verplichtingen van de Wbp

Artikel 6 van de Wbp bevat de essentie van de hele regeling: als er sprake is van verwerking van persoonsgegevens, moet dit behoorlijk en zorgvuldig gebeuren overeenkomstig de regels van de Wbp. Een rechtmatige, dat wil zeggen, conform de regels van de Wbp, verwerking moeten de persoonsgegevens eerst en vooral verzameld zijn voor een gerechtvaardigd, duidelijk bepaald en goed omschreven doel (artikel 7). Dat doel vormt steeds het toetsingskader, dus ook bij verdere verwerking. Anders gezegd: verdere verwerking mag mits verenigbaar met het oorspronkelijke doel, ongeacht of dit plaatsvindt binnen of buiten de organisatie van de verantwoordelijke. De Wbp concretiseert niet nader wat nog wel en niet meer verenigbaar is met het oorspronkelijke doel, maar geeft in artikel 9 wel een aantal factoren die bij die afweging meegewogen moeten worden (zoals de aard van de gegevens en de ingrijpendheid van de gevolgen (voor de betrokkene) bij dit volgend gebruik).

Daarnaast moet iedere verwerking gebaseerd zijn op tenminste één van de in artikel 8 Wbp limitatief omschreven verwerkingsgronden, waaronder: een wettelijke taak, toestemming betrokkene en een gerechtvaardigd belang prevalerend boven die van de betrokkene. Daar komt bij, nog steeds op grond van artikel 8, dat de verwerking ook moet voldoen aan de beginselen van proportionaliteit en subsidiariteit: de inbreuk moet in verhouding staan tot het met de verwerking te dienen doel en er moet geen andere, voor de betrokkene minder nadelige weg, bestaan.

Verder heeft de verantwoordelijke tal van informatieplichten en moeten de door hem verwerkte gegevens ook aan bepaalde kwaliteitseisen voldoen, afdoende beveiligd zijn en zorgvuldig bewaard worden. Betrokkenen hebben inzage- en correctierechten en een beroep op de rechter is mogelijk bij (vermeende) inbreuk.

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de regels in de Wbp. In het kader van de toezichtstaak kan het, ook uit eigen beweging, onderzoek doen naar overtredingen van de Wbp en sancties (bestuursdwang of bestuurlijke boetes) opleggen, waartegen overigens rechtsbescherming bestaat). Bij handhaving legt de Autoriteit Persoonsgegevens de nadruk op ernstige overtredingen die structureel van aard zijn en veel mensen raken. Bij de Autoriteit Persoonsgegevens werkten in 2013 circa 80 fte’s en had het een budget van in totaal € 7.586.000,-.

FG en Artikel 29 Werkgroep

In het krachtenveld rond de Wbp zijn voorts nog twee instituties van belang: de functionaris voor de gegevensbescherming en de Artikel 29 Werkgroep. Organisaties kunnen ervoor kiezen binnen hun eigen muren een toezichthouder in te stellen, een zogenaamde functionaris voor de gegevensbescherming, kortweg ‘een FG’. Deze FG heeft op grond van de Wbp een onafhankelijke positie en als taak ervoor zorgen dat de Wbp netjes wordt nageleefd. Circa 400 organisaties in Nederland hebben inmiddels een FG. Verder voorziet Artikel 29 van de Privacy Richtlijn in de oprichting van een onafhankelijk advies -en overlegorgaan van Europese privacytoezichthouders, die men dan ook de ‘Artikel 29 Werkgroep’ heeft genoemd. Hierin zitten alle Lidstaatwaakhonden zoals de Autoriteit Persoonsgegevens. Strevend naar een uniforme toepassing van de principes uit de Privacy Richtlijn kan zij, gevraagd en ongevraagd, hierover uitleg geven. Dit doen ze dan ook veelvuldig in de vorm van werkdocumenten en opinies. Daarnaast coördineert het de gezamenlijke handhaving van de nationale toezichthouders.

ePrivacy Richtlijn (Tw)

De ePrivacy Richtlijn richt zich specifiek op gegevensverwerking in de telecommunicatiesector, waaronder de verwerking van zogenaamde ‘locatiegegevens’. Deze Richtlijn is dus slechts van toepassing op aanbieders van elektronische-communicatiediensten, waaronder mobiele randapparatuur, die communiceren via openbare netwerken. Het legt hen specifieke verantwoordelijkheden en verplichtingen op (onder meer ter zake van opslag, beveiliging, vertrouwelijkheidsgaranties, spamming en het gebruik van cookies).

De ePrivacy Richtlijn definieert locatiegegevens als gegevens ‘die worden verwerkt in een elektronische-communicatienetwerk waarmee de geografische positie van de eindapparatuur van een gebruiker van een algemeen beschikbaar elektronische-communicatiedienst wordt aangegeven’. Deze locatiegegevens mogen volgens artikel 9 van de ePrivacy Richtlijn slechts worden verwerkt als (a) deze anoniem zijn gemaakt of (b) als deze verwerking nodig is voor de levering van een dienst met toegevoegde waarde en gebruikers hiervoor ook hun expliciete toestemming hebben gegeven. Voorts moet de verwerking noodzakelijk zijn voor het te bereiken doel en dient de verwerking onder bevoegd gezag plaats te vinden. Daarnaast rusten er nog tal van informatieverplichtingen op de dienstaanbieder.

ACM

Toezicht op deze regels is neergelegd bij de Autoriteit Commerciële Markt (ACM). Bij overtreding van de regels kan de ACM een dwangsom opleggen. In 2005 hebben de OPTA, de voorloper van de ACM, en de Autoriteit Persoonsgegevens een samenwerkingsprotocol opgesteld waarin afspraken zijn gemaakt over mogelijke samenloop van bevoegdheden. De ACM bestond in 2013 uit ongeveer 500 fte’s en het budget voor 2013 was € 771.000. Daarbij moet wel opgemerkt worden dat de ACM veel meer taken heeft dan toezicht op de naleving van de regels van de ePrivacy Richtlijn.

De rol van locatie: in toenemende mate hét koppelpunt van gegevens

Data is het goud van de 21e eeuw. Dagelijks worden enorme hoeveelheden gegevens verzameld. Ter illustratie: de hoeveelheid data die we thans naar schatting in twee dagen genereren – circa 5 quintillion bytes – is gelijk aan de opgetelde hoeveelheid data die de mensheid tot aan het jaar 2003 had geproduceerd en 90% van alle data is niet ouder dan twee jaar!

Om informatie te halen uit data of gegevens is het kunnen koppelen van gegevens en het leggen van verbanden essentieel. Dit koppelen kan op tal van manieren gebeuren (logisch, historisch, semantisch), maar dit heeft inherente tekortkomingen (verschil van interpretatie van zoek- en koppeltermen). De koppeling op basis van geografische coördinaten is daarentegen zeer accuraat: over de duiding bestaan wereldwijd geaccepteerde afspraken en het geografisch ‘taggen’ van data impliceert dus dat deze gemakkelijk over elkaar heen gelegd kunnen worden.

Geschat wordt dat tussen de 60 en 80% van alle data inmiddels een geo-component (een locatie) in zich heeft. Verwacht mag worden dat dit percentage snel zal toenemen, onder meer omdat sensoren bijna standaard de locatiegegevens verzamelen die bij de waarnemingen horen en ook met behulp van mobiele telefoons locatiegegevens kunnen worden verzameld. Dus doordat data – gestructureerd, maar ook ongestructureerd – zo vaak een digitale geografische component heeft, kan deze gemakkelijk op basis van dat gemeenschappelijke element – de locatie – gekoppeld worden met andere data. De aanwezigheid van locatie-informatie maakt dus de transitie van data naar informatie mogelijk en dat stelt ons weer in staat om de informatie om te zetten in kennis en wijsheid. Kortom: locatie fungeert als hét koppelpunt van gegevens!

Deze ontwikkeling schept ongekende mogelijkheden voor overheden bedrijven en burgers, maar uiteraard ook nieuwe uitdagingen. Een daarvan is dat met behulp van (het koppelen met) locatie-informatie een steeds gedetailleerder beeld valt te maken van personen. En dat breekt rechtstreeks in op een goed dat ons veel waard is: het recht op privacy. Dat brengt ons bij die andere wereld, die van de bescherming van de persoonsgegevens.

Wil je meer weten over geo-informatie en privacy, lees dan eens het Witboek ‘Privacy op zijn Plaats’ dat Geonovum in maart 2015 publiceerde.

Begrippenlijst

persoonsgegeven

elk gegeven betreffende een geïdentificeerde of identificeerbare persoon (artikel 1 Wbp). http://wetten.overheid.nl/BWBR0011468/2016-01-01#Hoofdstuk1_Artikel1

Verwerking van persoonsgegevens

elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen,vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van persoonsgegevens (artikel 1b Wbp) http://wetten.overheid.nl/BWBR0011468/2016-01-01

Verantwoordelijke

verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1d Wbp). http://wetten.overheid.nl/BWBR0011468/2016-01-01#Hoofdstuk1_Artikel1

Bewerker

degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (artikel 1e Wbp). http://wetten.overheid.nl/BWBR0011468/2016-01-01#Hoofdstuk1_Artikel1

Betrokkene

degene op wie een persoonsgegeven betrekking heeft (artikel 1f Wbp). http://wetten.overheid.nl/BWBR0011468/2016-01-01#Hoofdstuk1_Artikel1

Bijzondere persoonsgegevens

gegevens over godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksueel leven, lidmaatschap van een vakvereniging, strafrechtelijk verleden (artikel 16 Wbp). http://wetten.overheid.nl/BWBR0011468/2016-01-01#Hoofdstuk2_Paragraaf2_Artikel16

Toelichtingen bij de voorvragen

Wat is een persoonsgegeven?

Het begrip persoonsgegeven

Een persoonsgegeven is “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Het gaat daarbij om gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon. Gegevens die “mede bepalend zijn voor de wijze waarop de betrokken persoon wordt beoordeeld of behandeld” dienen te worden aangemerkt als persoonsgegevens.

Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de Wbp. De Wbp noemt de persoon wiens persoonsgegevens worden verwerkt de betrokkene. Gegevens zijn persoonsgegevens als de gegevens informatie bevatten over een natuurlijke persoon en die persoon identificeerbaar is.

Of gegevens informatie bevatten over een natuurlijke persoon blijkt meestal uit de aard van de gegevens. Dit kunnen gegevens zijn die:

  • naar hun aard feitelijke informatie over een persoon geven;
  • informatie geven over ondernemingen of organisaties
  • informatie geven over voorwerpen of objecten

Sommige gegevens verschaffen duidelijk feitelijke informatie over een persoon. De meest sprekende voorbeelden zijn iemands naam, geboortedatum of geslacht. Ook gegevens die een waardering over een natuurlijke persoon geven, bevatten informatie over die persoon. Je kunt daarbij denken aan iemands intelligentiequotiënt (IQ).

Wanneer is sprake van identificeerbaarheid?

De persoon waar de gegevens betrekking op hebben, moet vervolgens wel identificeerbaar zijn. Is de betrokkene niet identificeerbaar, dan is het gegeven geen persoonsgegeven. Een persoon is identificeerbaar als je de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanning kunt vaststellen. Je moet dus op de een of andere manier een verband kunnen leggen tussen het gegeven en de persoon. Soms is de identiteit eenvoudig vast te stellen: met behulp van bijvoorbeeld naam, adres en geboortedatum is dat snel gebeurd. Dit worden direct identificerende gegevens genoemd.

Gegevens die van de naam zijn ontdaan, kunnen in combinatie met andere gegevens of door spontane herkenning toch weer tot een bepaald persoon leiden. Ook in dat geval is de persoon - indirect - identificeerbaar. Dat hangt wel af van de mogelijkheden die de verantwoordelijke heeft. Als door versleuteling van de gegevens en/of afspraken over de toegang tot die gegevens, daadwerkelijke identificatie redelijkerwijs is uitgesloten, is de persoon niet identificeerbaar.

Kortom: de feitelijke situatie – zoals de context van de verwerking, de technologie – zal steeds bepalend zijn voor de vaststelling of sprake is van persoonsgegevens. Om meer houvast te krijgen, kun je de uitgebreide toelichting lezen op het begrip persoonsgegeven van de Autoriteit Persoonsgegevens.

Wat is je rol?

Ben ik verantwoordelijke?

Als je hebt vastgesteld dat de Wbp van toepassing is op de voorgenomen gegevensverwerking, moet je je afvragen of je ook de verantwoordelijke bent. Veel van de verplichtingen van de Wbp zijn immers opgelegd aan de verantwoordelijke. De wet omschrijft de verantwoordelijke als: de natuurlijke persoon, de rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met andere, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (art. 1, onder d, Wbp).

Het doel en de middelen van verwerking

De verantwoordelijke is dus degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen. Het gaat dan dus niet om degene die feitelijk de beslissingen neemt, niet om jou als persoon,maar om de rechtspersoon, de natuurlijke persoon, het bestuursorgaan of ieder ander die formeel bevoegd is deze beslissingen te nemen. Die is de verantwoordelijke.

Als dit meerdere (rechts)personen zijn, is er sprake van gezamenlijke verantwoordelijkheid. Je kunt daarbij denken aan gemeentes die regionaal samenwerken en gemeenschappelijk gebruik maken van hun persoonsgegevens, bijvoorbeeld in het kader van criminaliteitspreventie.

De maatstaven in het maatschappelijk verkeer

Als het niet duidelijk is wie formeel-juridisch de bevoegdheid of zeggenschap heeft, moet je naar het tweede criterium kijken: degene aan wie de verwerking naar de maatstaven die in het maatschappelijk verkeer gelden, moet worden toegerekend. Wat de in het maatschappelijk verkeer geldende maatstaven zijn, is moeilijk te zeggen: het zal van de feitelijke situatie afhangen. Dit criterium is opgenomen omdat het voor burgers soms moeilijk te bepalen is wie formeel-juridisch de bevoegdheid heeft.In gemeenteland is de verantwoordelijke in de regel het College van B&W en bij ministeries is dit de Minister.

Om meer houvast te krijgen, kun je de uitgebreide toelichting lezen op het begrip verantwoordelijke van de Autoriteit Persoonsgegevens.

Bewerker

Als verantwoordelijke hoeft je niet feitelijk zelf de gegevens te verwerken. Van belang is of je bepaalt welke gegevens worden verwerkt, hoe lang, met welke middelen en voor welk doel. Verwerkt je gegevens ten behoeve van een ander, dan ben je wellicht de bewerker. De “bewerker” is: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (art. 1, onder e, Wbp).

Je bent dus bewerker als je ten behoeve van een verantwoordelijke persoonsgegevens verwerkt zonder dat je rechtstreeks onder het gezag van die verantwoordelijke staat. Als bewerker heb je dus geen zeggenschap over de gegevensverwerking, maar handel je naar de instructies en onder verantwoordelijkheid van de verantwoordelijke. Bepalend is dus je positie ten opzichte van de verantwoordelijke en de mate van zeggenschap die je over de gegevensverwerking hebt. Mooie rule of thumb is dat als je niets over de gegevens te zeggen hebt - maar ze wel verwerkt - je een bewerker bent. Voorbeelden zijn: salarisadministratie door externen uitgevoerd en uitvoerders van clouddiensten zoals Dropbox.

Om meer houvast te krijgen, kun je de uitgebreide toelichting lezen op het begrip bewerker van de Autoriteit Persoonsgegevens.

Eisen die de Wbp stelt aan doelen en grondslagen en enkele andere eisen

Het verzamelen van persoonsgegevens mag alleen voor een bepaald doel

Artikel 7 stelt dat je persoonsgegevens alleen mag verzamelen als je daarvoor een doel hebt. Dit doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Je mag geen gegevens verzamelen zonder dat het doel waarvoor je dat doet, duidelijk is bepaald. Je mag gegevens uiteraard ook voor meerdere doeleinden verzamelen. Die doeleinden hoeven niet noodzakelijkerwijs verband te houden met elkaar.

Het doel of de doeleinden moet je omschrijven vóórdat je begint met het verzamelen. Het is dus van belang dat je goed inventariseert en omschrijft voor welke gerechtvaardigde doeleinden je gegevens gaat verzamelen en verwerken. Je mag de doeleinden tijdens het verwerkingsproces namelijk niet zonder meer veranderen of uitbreiden.

Bij het inrichten van een gegevensverwerking moet je verder steeds nagaan of het verwerken van persoonsgegevens noodzakelijk is voor het doel. Dat betekent dat je je moet afvragen of je niet met minder gegevens hetzelfde doel kunt bereiken. Je moet ook onderzoeken of je niet langs een andere weg hetzelfde resultaat kunt bereiken, bijvoorbeeld door met behulp van technische hulpmiddelen te bewerkstelligen dat je geen of zo min mogelijk persoonsgegevens verwerkt.

Grondslagen waarop gegevensverwerking gebaseerd mag worden
Iedere verwerking van persoonsgegevens moet gebaseerd zijn op tenminste één van de in artikel 8 limitatief omschreven verwerkingsgronden. Deze zijn:
  1. De betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend. Je mag gegevens op grond van de ondubbelzinnige toestemming van de betrokkene verwerken, mits je toestemming hebt gekregen voor een bepaalde verwerking van bepaalde gegevens, de toestemming uit vrije wil is geuit, je de betrokkene hebt geïnformeerd over de gang van zaken rond de verwerking en je geen twijfel hebt over de inhoud en reikwijdte van de toestemming.
  2. De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst Als je met iemand een overeenkomst hebt gesloten, mag je de persoonsgegevens van diegene verwerken voor zover dat noodzakelijk is om de overeenkomst uit te voeren. Je mag op basis van deze grondslag ook gegevens verwerken in de fase voor het sluiten van de overeenkomst.
  3. De gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is
  4. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene
  5. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt
  6. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Andere eisen die de Wbp stelt

De Wbp bevat een algemene norm over de kwaliteit van de gegevensverwerking. Je gegevens moeten gelet op het doel waarvoor ze worden verwerkt: niet bovenmatig, toereikend en ter zake dienend zijn.

Met niet bovenmatig gegevens verwerken wordt bedoeld dat je niet te gedetailleerde gegevens mag verwerken als dat voor je doel niet noodzakelijk is. Je moet ervoor zorgen dat je voldoende en adequate gegevens verwerkt voor je doel. Je gegevens moeten ook toereikend zijn voor het doel waarvoor je ze verwerkt; je moet alle gegevens verwerken die voor het doel noodzakelijk zijn. Je mag niet te weinig gegevens verwerken. Als je te weinig gegevens verzamelt, kan namelijk ten onrechte een onvolledig beeld van de betrokkene ontstaan. Een verwerking van gegevens moet ook ter zake dienend zijn: je mag alleen die gegevens verwerken die noodzakelijk zijn voor het doel. Je mag dus geen overbodige gegevens verwerken.

De verwerkte gegevens moeten verder, gelet op de doeleinden, juist en nauwkeurig zijn. Die verplichting is niet absoluut: je hoeft niet altijd na te gaan of de verwerkte gegevens juist zijn. Het is wel verstandig om periodiek de gegevens te controleren. Verder mag je persoonsgegevens niet langer bewaren dan strikt noodzakelijk is voor je doel van verwerking.

Ook moet je passende maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerkingen. Je kunt daarbij denken aan zowel technische of organisatorische maatregelen. Het doel hiervan is vooral het voorkomen van het onnodig verzamelen van gegevens en/of een onrechtmatige verdere verwerking.

Sluiten

Antwoorden uploaden

Ben je al eens eerder bezig geweest en heb je de antwoorden in een bestand opgeslagen? Laad dan het bestand met de eerdere antwoorden (dit heet normaalgesproken "privacytoolantwoorden.csv"):

Sluiten

Antwoorden opslaan

Tijdens het invullen kan je op elk gewenst moment de antwoorden die je gegeven hebt, downloaden in een CSV-bestand. Dit bestand kan je bijvoorbeeld opslaan op je eigen computer of doorsturen aan iemand anders. Wij slaan geen gegevens op. Het bestand kan je op een later moment weer uploaden via "Upload antwoorden".

Let op: het bestand is te openen met een spreadsheet programma als Microsoft Excel of LibreOffice Calc. Maar het bestand is alleen bedoeld om (tussen)resultaten op te slaan en eventueel later weer te laden / gebruiken. Pas het bestand NIET aan.

Sla mijn antwoorden op