Vergroot contrast

Verstrekken van persoonsgegevens

Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.

Verenigbaar met doel

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

  • de verwantschap met het doel van verzamelen;
  • de aard van de gegevens;
  • de gevolgen van een verstrekking;
  • de waarborgen die zijn getroffen;
  • de verwachtingen van de betrokkene (degene van wie een organisatie persoonsgegevens gebruikt).

Gronden voor verstrekking

Naast de algemene regel van verenigbaarheid geldt dat het verstrekken van gegevens gebaseerd moet zijn op een van de 6 gronden (ook wel grondslagen genoemd) uit artikel 8 van de Wet bescherming persoonsgegevens (Wbp). Dat zijn:

  • toestemming van de betrokkene;
  • uitvoeren van een overeenkomst;
  • wettelijke verplichting;
  • vitaal belang van de betrokkene;
  • uitvoeren van een publiekrechtelijke taak;
  • gerechtvaardigd belang van de organisatie.

U leest meer over de voorwaarden voor verstrekken  van persoonsgegevens op bladzijde 20 tot en met 27 van de Handleiding voor verwerkers van persoonsgegevens op Rijksoverheid.nl.

Nieuws

Alle nieuwsberichten over het onderwerp 'Verstrekken van persoonsgegevens'

Alle antwoorden op mijn vragenVragen over verstrekken van persoonsgegevens

  • Mag een organisatie met mijn toestemming mijn persoonsgegevens verstrekken?

    Ja, maar dat mag alleen als u weet waarvoor de toestemming is. En wat de gevolgen zijn van toestemming geven. De organisatie moet u dus goed informeren.

    Toestemming intrekken

    U kunt uw toestemming altijd intrekken. Vanaf dat moment mag de organisatie uw persoonsgegevens niet meer verstrekken.

    Met het intrekken van toestemming vervalt de wettelijke grondslag voor verstrekking van persoonsgegevens. Voor organisaties is het daarom aan te raden om, indien mogelijk, een gegevensverstrekking te baseren op een van de andere grondslagen.

  • Mag een organisatie mijn persoonsgegevens verstrekken om een overeenkomst uit te voeren?

    Ja, dat mag. Een organisatie kan uw persoonsgegevens verstrekken aan een andere organisatie als dit noodzakelijk is om een overeenkomst met u uit te voeren. Heeft u bijvoorbeeld bij een telecombedrijf een mobiele telefoon besteld? Dan kan dit bedrijf uw persoonsgegevens verstrekken aan een bezorgingsdienst.

  • Mag een organisatie mijn persoonsgegevens verstrekken om te voldoen aan een wettelijke verplichting?

    Ja, dat mag. Soms moet een organisatie bepaalde persoonsgegevens van u verstrekken om te voldoen aan een wettelijke verplichting. Een voorbeeld hiervan is artikel 47 van de Algemene wet inzake rijksbelastingen. Op grond van dit artikel kan de belastinginspecteur alle gegevens opeisen die nodig zijn om belasting te heffen.

  • Mag een organisatie mijn persoonsgegevens verstrekken voor een vitaal belang van mij?

    Ja, dat mag. Een vitaal belang is bijvoorbeeld een dringende medische noodzaak. Maar het is beter om uw toestemming te vragen. Alleen als dat niet meer mogelijk is, mag een organisatie zonder uw toestemming uw persoonsgegevens verstrekken. Bijvoorbeeld omdat u buiten bewustzijn bent.

  • Mag een organisatie mijn persoonsgegevens verstrekken om een publiekrechtelijke taak uit te voeren?

    Een overheidsorganisatie mag uw persoonsgegevens verstrekken als dat noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak. Het kan hierbij gaan om een taak van de organisatie zelf of van de overheidsorganisatie die de gegevens ontvangt. 

    Het Openbaar Ministerie (OM) kan bijvoorbeeld informatie over een strafbaar feit, zoals een fraudezaak, verstrekken aan verzekeraars. Zo kan de schade op de dader worden verhaald. Deze verstrekking vloeit voort uit de taak van het OM, die onder meer is de belangen van slachtoffers te dienen.

  • Mag een organisatie mijn persoonsgegevens verstrekken bij een gerechtvaardigd belang?

    Ja, een organisatie mag uw gegevens verstrekken als dat noodzakelijk is voor het gerechtvaardigd belang van die organisatie. Denk hierbij aan handelingen die vallen onder de normale bedrijfsvoering of het dagelijks beheer van een organisatie.

    De organisatie moet zich wel afvragen of deze met minder gegevens of via een minder ingrijpende weg hetzelfde resultaat kan bereiken. Ook moet de organisatie een privacytoets uitvoeren. Dit betekent dat de organisatie uw belang moet afwegen tegen het organisatiebelang bij het verstrekken van uw gegevens.