Vergroot contrast

Vergunning aanvragen

Wilt u strafrechtelijke persoonsgegevens verwerken en delen met anderen? En kunt u geen beroep doen op een van de andere uitzonderingsgronden uit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)? Dan moet u hiervoor een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP).

Niet starten zonder vergunning

Bij de aanvraag voor een vergunning toetst de AP of de verwerking voldoet aan de eisen uit de UAVG. U mag pas starten met het verwerken van de strafrechtelijke persoonsgegevens als u de vergunning heeft gekregen.

Wat zegt de wet?

Volgens de Algemene verordening gegevensbescherming (AVG) mag het verwerken van strafrechtelijke persoonsgegevens in het algemeen niet. Het mag alleen onder toezicht van de overheid. Of als de verwerking is toegestaan op grond van de UAVG.

Voorbeeld: zwarte lijst

Een voorbeeld van een verwerking waarvoor een vergunning verplicht is, is een lijst met strafrechtelijke persoonsgegevens en/of gegevens over onrechtmatig of hinderlijk gedrag over individuele personen die binnen een bepaalde branche wordt gedeeld.

Een dergelijk branchewaarschuwingssysteem wordt ook wel een zwarte lijst genoemd. Bijvoorbeeld financiële instellingen die een lijst van frauderende klanten delen of een winkelverbod van een winkeliersvereniging.

Geen voorafgaand onderzoek meer

Het aanvragen van een vergunning vervangt de procedure van het voorafgaande onderzoek door de AP, die tot 25 mei 2018 onder de Wet bescherming persoonsgegevens verplicht was.

Bekijk binnen het onderwerp Vergunning aanvragen

Alle antwoorden op mijn vragenVragen over vergunning aanvragen

  • Wanneer moet ik een vergunning bij de AP aanvragen?

    U moet een vergunning bij de Autoriteit Persoonsgegevens (AP) aanvragen wanneer u strafrechtelijke persoonsgegevens wilt verwerken en delen met anderen. Tenzij u een beroep kunt doen op een van de uitzonderingsgronden uit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

    Uitzonderingen vergunningplicht

    Er gelden bijvoorbeeld uitzonderingen voor:

    • Particuliere recherchebureaus, concerns en overheidsorganisaties. 
    • Organisaties die belast zijn met de toepassing van het strafrecht.
    • Organisaties die strafrechtelijke gegevens hebben verkregen op grond van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).
    • Organisaties die de gegevens alleen intern gebruiken voor doelen zoals benoemd in de UAVG.

    Voor een volledig overzicht van de uitzonderingen op de vergunningplicht zie artikel 32 en 33 van de UAVG. 

    Zelf beoordelen

    U moet zelf beoordelen of u een vergunning moet aanvragen. Mogelijk is uw conclusie dat u geen vergunning nodig heeft, maar let op:

    • U heeft nog steeds een uitzonderingsgrond nodig om dit soort gegevens te mogen verwerken.
    • U moet mogelijk een DPIA uitvoeren en een voorafgaande raadpleging bij de AP aanvragen. 
  • Hoe vraag ik een vergunning aan?

    Voordat u een aanvraag voor een vergunning kunt doen bij de Autoriteit Persoonsgegevens (AP), moet u eerst een data protection impact assessment (DPIA, ook wel gegevensbeschermingseffectbeoordeling genoemd) uitvoeren en een protocol opstellen.

    DPIA

    De Algemene verordening gegevensbescherming (AVG) stelt de eis om een DPIA te doen bij grootschalige verwerking van strafrechtelijke persoonsgegevens. Ook staat het bijhouden en delen van zwarte lijsten op de AP-lijst met verwerkingen waarvoor een DPIA verplicht is.

    In een DPIA beschrijft u een aantal zaken die met de beoogde gegevensverwerking te maken hebben. Ook brengt u eventuele privacyrisico’s voor betrokkenen in kaart en de maatregelen die u neemt om die risico’s te beperken.

    Beperkt risico

    Blijkt uit uw DPIA dat er géén hoog privacyrisico resteert voor betrokkenen? Of dat u met maatregelen het risico kunt beperken?

    Dan kunt u een vergunning aanvragen via het aanvraagformulier vergunning zonder voorafgaande raadpleging. Vul de vragen op het formulier in en stuur de gevraagde documenten mee.

    Hoog risico

    Komt uit uw DPIA naar voren dat de voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor betrokkenen? En lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken?

    Dan moet u eerst met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. U vraagt een voorafgaande raadpleging aan via het dubbele aanvraagformulier: voorlopige raadpleging en vergunning.

    Is de uitkomst van de voorafgaande raadpleging dat de AP geen bezwaren heeft tegen de verwerking? Dan kunt u vervolgens een vergunning aanvragen via het aanvraagformulier vergunning na voorafgaande raadpleging.

    Protocol

    In een protocol moet u omschrijven hoe u de persoonsgegevens gaat verwerken en hoe deze voorgenomen gegevensverwerking voldoet aan de eisen uit de AVG.

    Is uw voorgenomen verwerking een branchewaarschuwingssysteem of zwarte lijst? Dan kunt u als hulpmiddel bij het opstellen van het protocol de AVG-handleiding protocol zwarte lijst gebruiken. Hierin vindt u de formele en inhoudelijke eisen waaraan een protocol moet voldoen.

    Let op

    Voordat u een vergunning heeft gekregen, mag u de strafrechtelijke persoonsgegevens niet verwerken.

    Privacystatement vergunningaanvragen

    Bij het indienen van een aanvraag voor een vergunning is het Privacystatement Voorafgaande raadpleging en Vergunningaanvragen van de AP van toepassing.

  • Wanneer geeft de AP een vergunning af?

    Vraagt u een vergunning aan voor het verwerken en delen van persoonsgegevens van strafrechtelijke aard? Dan toetst de Autoriteit Persoonsgegevens (AP) of uw voorgenomen verwerking voldoet aan de eisen uit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). 

    De AP kan alleen een vergunning afgeven als u aan de volgende voorwaarden voldoet.

    Noodzakelijkheid

    De verwerking van de strafrechtelijke persoonsgegevens is noodzakelijk. Dit betekent dat u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de privacy van de mensen over wie het gaat.

    Zwaarwegend belang

    De verwerking van de strafrechtelijke persoonsgegevens en het delen ervan met andere organisaties heeft een zwaarwegend belang voor u en deze organisaties.

    Waarborgen

    U zorgt ervoor dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.

    Algemene wet bestuursrecht

    De aanvraag voor een vergunning wordt behandeld conform de Algemene wet bestuursrecht en de daarin opgenomen termijnen.

  • Moet ik alsnog een vergunning aanvragen als de AP voor 25 mei 2018 mijn verwerking al heeft goedgekeurd?

    Nee. Heeft de Autoriteit Persoonsgegevens (AP) eerder een rechtmatigheidsbesluit afgegeven voor uw verwerking? Dan wordt dit van rechtswege een vergunning. U hoeft dan dus geen vergunning aan te vragen bij de AP.

    U hoeft ook geen DPIA te doen. Tenzij uw verwerking na het afgeven van het rechtmatigheidsbesluit is veranderd.

  • Moet ik een vergunning aanvragen als ik ga meedoen aan een verwerking die al is goedgekeurd?

    Nee. Doet u later mee aan een verwerking van persoonsgegevens van strafrechtelijke aard waarvoor de Autoriteit Persoonsgegevens (AP) al eerder een vergunning heeft afgegeven? Dan hoeft u geen aparte vergunning voor uzelf aan te vragen. De vergunninghouder moet u wel op de lijst van deelnemers zetten.

    Register zwarte lijsten

    De AP houdt een register waarvoor een vergunning is verleend. Of waarvoor de AP voor 25 mei 2018 een rechtmatigheidsbesluit heeft afgegeven. Deze besluiten zijn per 25 mei 2018 van rechtswege omgezet in een vergunning.

    Wél DPIA

    U moet wel een data protection impact assessment (DPIA) doen, omdat het om een nieuwe verwerking gaat.

  • Moet ik voor een zwarte lijst altijd een vergunning aanvragen?

    Nee, niet altijd. U heeft geen vergunning nodig wanneer u de zwarte lijst alleen intern gebruikt. En ook niet als er geen strafrechtelijke persoonsgegevens of gegevens over hinderlijk of onrechtmatig gedrag op uw zwarte lijst staan.

    Let op: dit wil niet zeggen dat het bijhouden van een lijst zonder strafrechtelijke persoonsgegevens zomaar is toegestaan. Ook bij een verwerking waarvoor geen vergunning nodig is, moet u voldoen aan de eisen van de Algemene verordening gegevensbescherming (AVG).

  • Moet ik als particuliere beveiligingsorganisatie of recherchebureau een vergunning aanvragen voor het delen van strafrechtelijke persoonsgegevens?

    U hoeft geen vergunning aan te vragen bij de Autoriteit Persoonsgegevens (AP). Wel moet u een vergunning hebben op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr).

    Vergunningaanvraag Wbpr

    De vergunningaanvraag op grond van de Wbpr kunt u aanvragen bij Justis. Justis verleent de vergunning namens de Minister van Justitie en Veiligheid. Meer informatie vindt u op de website van Justis

    Andere belangrijke regels

    Bij het uitvoeren van uw werkzaamheden moet u zich ook altijd houden aan de regels van de Algemene verordening gegevensbescherming (AVG). De AP houdt toezicht op deze wet.

    Voor alle particuliere onderzoeksbureaus die een vergunning moeten hebben op grond van de Wpbr, is de privacygedragscode particuliere onderzoeksbureaus van toepassing.

  • Moet ik een vergunning aanvragen voor het delen van strafrechtelijke persoonsgegevens van mijn personeel binnen mijn concern?

    Nee, maar alleen als u voldoet aan de volgende 2 voorwaarden:

    • U mag alleen strafrechtelijk persoonsgegevens delen over personeel dat binnen uw concern in dienst is.
    • U moet de ondernemingsraad om instemming hebben gevraagd voordat u de strafrechtelijke persoonsgegevens gaat delen.

    Let op: opereert uw concern internationaal en wilt u persoonsgegevens doorgeven aan vestigingen buiten de EU? Dan moet u voldoen aan de regels die gelden voor doorgifte van persoonsgegevens naar landen buiten de EU.  

  • Is een vergunning verplicht als er alleen strafrechtelijke persoonsgegevens worden gedeeld tussen overheidsorganisaties?

    Er is geen vergunning nodig als er sprake is van een 'publiekrechtelijk samenwerkingsverband'. 

    In de uitvoeringswet Algemene verordening gegevensbescherming (AVG) staan dit soort samenwerkingsverbanden afzonderlijk als uitzondering genoemd wanneer:

    • de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
    • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden