Vergroot contrast

Vergunning aanvragen

Wilt u strafrechtelijke persoonsgegevens verwerken en delen met anderen? En kunt u geen beroep doen op een van de uitzonderingsgronden uit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG)? Dan moet u hiervoor een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP).

Niet starten zonder vergunning

Bij de aanvraag voor een vergunning toetst de AP of de verwerking voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG) en de UAVG. U mag pas starten met het verwerken van de strafrechtelijke persoonsgegevens als u de vergunning heeft gekregen.

Wat zegt de wet?

Volgens de AVG mag het verwerken van strafrechtelijke persoonsgegevens in het algemeen niet. Het mag alleen onder toezicht van de overheid. Of als de verwerking is toegestaan op grond van de UAVG.

Voorbeeld: vergunningplichtige zwarte lijst

Een vergunning is verplicht bij een zwarte lijst die binnen een bepaalde branche wordt gedeeld én waarop strafrechtelijke persoonsgegevens en/of gegevens over een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag zijn opgenomen.

Voorbeelden van vergunningplichtige zwarte lijsten zijn financiële instellingen die een lijst van frauderende klanten delen. Of winkeliers of horecondernemers die collectieve winkelverboden of collectieve horecaontzeggingen delen die in een bepaald gebied zijn opgelegd.

Nieuws

Alle nieuwsberichten over het onderwerp 'Vergunning aanvragen'

Alle antwoorden op mijn vragenVragen over vergunning aanvragen

  • Wanneer moet ik een vergunning bij de AP aanvragen?

    U moet een vergunning bij de Autoriteit Persoonsgegevens (AP) aanvragen wanneer u strafrechtelijke persoonsgegevens wilt verwerken en delen met anderen. Dit geldt niet als u een beroep kunt doen op een van de uitzonderingsgronden uit de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).

    Uitzonderingen vergunningplicht

    Er gelden bijvoorbeeld uitzonderingen voor:

    • Particuliere recherchebureaus, concerns en overheidsorganisaties. 
    • Organisaties die belast zijn met de toepassing van het strafrecht.
    • Organisaties die strafrechtelijke gegevens hebben verkregen op grond van de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).
    • Organisaties die de gegevens alleen intern gebruiken voor doelen zoals benoemd in de UAVG.

    Voor een volledig overzicht van de uitzonderingen op de vergunningplicht zie artikel 32 en 33 van de UAVG. 

    Zelf beoordelen

    U moet zelf beoordelen of u een vergunning moet aanvragen. Mogelijk is uw conclusie dat u geen vergunning nodig heeft, maar let op:

    • U heeft nog steeds een uitzonderingsgrond nodig om dit soort gegevens te mogen verwerken.
    • U moet mogelijk een DPIA uitvoeren en een voorafgaande raadpleging bij de AP aanvragen. 
  • Hoe vraag ik een vergunning aan?

    Voordat u een aanvraag voor een vergunning kunt doen bij de Autoriteit Persoonsgegevens (AP), moet u eerst een data protection impact assessment (DPIA, ook wel gegevensbeschermingseffectbeoordeling genoemd) uitvoeren en een protocol opstellen.

    DPIA-plichtige verwerking

    De Algemene verordening gegevensbescherming (AVG) stelt de eis om een DPIA te doen bij grootschalige verwerking van strafrechtelijke persoonsgegevens. Ook staat het bijhouden en delen van zwarte lijsten op de AP-lijst met verwerkingen waarvoor een DPIA verplicht is.

    In een DPIA beschrijft u een aantal zaken die met de beoogde gegevensverwerking te maken hebben. Ook brengt u eventuele privacyrisico’s voor betrokkenen in kaart en de maatregelen die u neemt om die risico’s te beperken.

    Beperkt risico

    Blijkt uit uw DPIA dat er géén hoog privacyrisico resteert voor betrokkenen? Of dat u met maatregelen het risico kunt beperken?

    Dan kunt u een vergunning aanvragen via het aanvraagformulier vergunning zonder voorafgaande raadpleging. Vul de vragen op het formulier in en stuur de gevraagde documenten mee.

    Hoog risico

    Komt uit uw DPIA naar voren dat de voorgenomen verwerking van persoonsgegevens een hoog privacyrisico oplevert voor betrokkenen? En lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken?

    Dan moet u eerst met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. U vraagt een voorafgaande raadpleging aan via het dubbele aanvraagformulier: voorlopige raadpleging en vergunning.

    Is de uitkomst van de voorafgaande raadpleging dat de AP geen bezwaren heeft tegen de verwerking? Dan kunt u vervolgens een vergunning aanvragen via het aanvraagformulier vergunning na voorafgaande raadpleging.

    Protocol

    In een protocol moet u omschrijven hoe u de persoonsgegevens gaat verwerken en hoe deze voorgenomen gegevensverwerking voldoet aan de eisen uit de AVG.

    Let op

    U mag pas beginnen met de verwerking van de strafrechtelijke persoonsgegevens als u een vergunning heeft gekregen van de AP.

    Privacyverklaring vergunning aanvragen

    Hoe de AP omgaat met uw persoonsgegevens als u een vergunning aanvraagt, leest u in de Privacyverklaring voorafgaande raadpleging, vergunning, gedragscode of internationale doorgifte.

  • Wanneer geeft de AP een vergunning af?

    Vraagt u een vergunning aan voor het verwerken en delen van persoonsgegevens van strafrechtelijke aard? Dan toetst de Autoriteit Persoonsgegevens (AP) of uw voorgenomen verwerking voldoet aan de eisen uit de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). 

    De AP kan alleen een vergunning afgeven als u minimaal aan de volgende voorwaarden voldoet.

    • Noodzakelijkheid
      De verwerking van de strafrechtelijke persoonsgegevens is noodzakelijk. Dit betekent dat u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de privacy van de mensen over wie het gaat.

    • Zwaarwegend algemeen belang
      De verwerking van de strafrechtelijke persoonsgegevens en het delen ervan met andere organisaties heeft een zwaarwegend belang, niet alleen voor u en deze organisaties maar ook voor de maatschappij.

    • Waarborgen
      U zorgt ervoor dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.

    Daarnaast moet uit de DPIA en/of het protocol blijken dat u ook voldoet aan de AVG. U moet een grondslag hebben voor uw gegevensverwerking, zoals de behartiging van uw gerechtvaardigd belang.

    Voorschriften

    De AP kan voorschriften verbinden aan de vergunning. Een voorbeeld van een AP-voorschrift is dat een vergunning 5 jaar geldig is.

    Algemene wet bestuursrecht

    De AP behandelt uw aanvraag voor een vergunning conform de Algemene wet bestuursrecht en de daarin opgenomen termijnen.

  • Moet ik alsnog een vergunning aanvragen als de AP voor 25 mei 2018 mijn verwerking al heeft goedgekeurd?

    Dat hangt ervan af of de eerdere goedkeuring (het rechtmatigheidsbesluit) van de Autoriteit Persoonsgegevens (AP) een geldigheidstermijn heeft of niet.

    Geen geldigheidstermijn

    Heeft u destijds een rechtmatigheidsbesluit ontvangen zonder geldigheidstermijn? Dan wordt dit besluit van rechtswege een vergunning.

    U hoeft dan dus geen vergunning aan te vragen bij de AP. U hoeft ook geen DPIA te doen. Tenzij uw verwerking na het afgeven van het rechtmatigheidsbesluit is veranderd.

    Wel een geldigheidstermijn

    Is het rechtmatigheidsbesluit van de AP maar een bepaalde periode geldig, bijvoorbeeld 5 jaar? En is deze geldigheidsduur (bijna) verlopen?

    Dan moet u de AP vragen de geldigheid te verlengen. Dit doet u met het aanvraagformulier voor een vergunning.

    Bij uw aanvraag voegt u toe:

    • uw protocol, dat u aan de AVG/UAVG heeft aangepast;
    • uw DPIA.
  • Moet ik een vergunning aanvragen als ik ga meedoen aan een verwerking waarvoor een door de AP goedgekeurd modelprotocol bestaat?

    Ja. U bent immers zelf verwerkingsverantwoordelijke voor deze verwerking. Daarom heeft u ook zelf een vergunning nodig. Maar u kunt mogelijk wel sneller een vergunning ontvangen als u een modelprotocol dat door de AP is beoordeeld een-op-een overneemt.

    Modelprotocol

    Dit geldt bijvoorbeeld voor het overnemen van het Modelprotocol collectief winkelverbod of het Modelprotocol collectieve horecaontzegging (binnenkort beschikbaar).

    Voor meer informatie, zie: Hoe werken de modelprotocollen collectief winkelverbod en collectieve horecaontzegging?

  • Moet ik voor een zwarte lijst altijd een vergunning aanvragen?

    U heeft geen vergunning nodig wanneer u de zwarte lijst alleen intern gebruikt. En ook niet als er geen strafrechtelijke persoonsgegevens op uw zwarte lijst staan en/of gegevens over een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag.

    Let op: dit wil niet zeggen dat het bijhouden van een zwarte lijst zonder strafrechtelijke persoonsgegevens zomaar is toegestaan.

    Ook bij een verwerking waarvoor geen vergunning nodig is, moet u voldoen aan de eisen van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG).

    Zie verder: Mag ik een zwarte lijst opstellen en gebruiken?

  • Moet ik als particuliere beveiligingsorganisatie of recherchebureau een vergunning aanvragen voor het delen van strafrechtelijke persoonsgegevens?

    U hoeft geen vergunning aan te vragen bij de Autoriteit Persoonsgegevens (AP). Wel moet u een vergunning hebben op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr).

    Vergunningaanvraag Wbpr

    De vergunningaanvraag op grond van de Wbpr kunt u aanvragen bij Justis. Justis verleent de vergunning namens de Minister van Justitie en Veiligheid. Meer informatie vindt u op de website van Justis

    Andere belangrijke regels

    Bij het uitvoeren van uw werkzaamheden moet u zich ook altijd houden aan de Algemene verordening gegevensbescherming (AVG). De AP houdt toezicht op deze wet.

    Voor alle particuliere onderzoeksbureaus die een vergunning moeten hebben op grond van de Wpbr, is de privacygedragscode particuliere onderzoeksbureaus van toepassing.

  • Moet ik een vergunning aanvragen voor het delen van strafrechtelijke persoonsgegevens van mijn personeel binnen mijn concern?

    Nee, maar alleen als u voldoet aan de volgende 2 voorwaarden:

    • U mag alleen strafrechtelijk persoonsgegevens delen over personeel dat binnen uw concern in dienst is.
    • U moet de ondernemingsraad om instemming hebben gevraagd voordat u de strafrechtelijke persoonsgegevens gaat delen.

    Let op: opereert uw concern internationaal en wilt u persoonsgegevens doorgeven aan vestigingen buiten de EU? Dan moet u voldoen aan de regels die gelden voor doorgifte van persoonsgegevens naar landen buiten de EU.  

  • Is een vergunning verplicht als er alleen strafrechtelijke persoonsgegevens worden gedeeld tussen overheidsorganisaties?

    Er is geen vergunning nodig als er sprake is van een publiekrechtelijk samenwerkingsverband. 

    In de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) staat dit soort samenwerkingsverbanden afzonderlijk als uitzondering genoemd wanneer:

    • de verwerking noodzakelijk is voor de uitvoering van de taak van deze verwerkingsverantwoordelijken of groepen van verwerkingsverantwoordelijken; en
    • bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden