Vergunning aanvragen

Organisaties die strafrechtelijke gegevens willen verwerken en delen met anderen, moeten vaak eerst een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Bijvoorbeeld als zij een zwarte lijst willen gebruiken en delen waarop strafrechtelijke gegevens staan.  

Op deze pagina

Regels verwerking strafrechtelijke gegevens

Volgens de Algemene verordening gegevensbescherming (AVG) mag het verwerken van strafrechtelijke persoonsgegevens over het algemeen niet. Het mag alleen:

  • onder toezicht van de overheid;
  • als de verwerking is toegestaan op grond van Unierechtelijke bepalingen of nationale bepalingen, zoals de Uitvoeringswet AVG (UAVG).

Wanneer vergunning aanvragen

U moet als organisatie een vergunning bij de AP aanvragen wanneer u strafrechtelijke persoonsgegevens wilt verwerken en deze wilt delen met anderen. Tenzij u een beroep kunt doen op een van de uitzonderingen uit de UAVG.

Uitzonderingen op de verplichting om een vergunning aan te vragen gelden bijvoorbeeld voor:

Een volledig overzicht van de uitzonderingen op de vergunningplicht vindt u in artikel 10 van de AVG en artikel 32 en 33 van de UAVG.

Zelf beoordelen

U moet zelf beoordelen of u een vergunning moet aanvragen. Uw conclusie kan zijn dat u geen vergunning nodig heeft, maar let op:

Aanvragen vergunning bij de AP

Voordat u een aanvraag voor een vergunning kunt doen bij de AP, moet u eerst:

Hoe u vervolgens een vergunning aanvraagt bij de AP, hangt af van de uitkomst van uw DPIA:

Uitkomst: beperkt risico

Blijkt uit uw DPIA dat er géén hoog privacyrisico resteert voor de betrokkenen? Of dat u met maatregelen het risico kunt beperken? Dan kunt u een vergunning aanvragen via het:

Uitkomst: hoog risico

Komt uit uw DPIA naar voren dat de voorgenomen verwerking een hoog privacyrisico oplevert voor de betrokkenen? En lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken? Dan moet u eerst met de AP overleggen voordat u met de verwerking start. Dit heet een voorafgaande raadpleging

U vraagt een voorafgaande raadpleging aan via het:

Is de uitkomst van de voorafgaande raadpleging dat de AP geen bezwaren heeft tegen de verwerking? Dan kunt u vervolgens een vergunning aanvragen via het:

Privacyverklaring vergunning aanvragen

Als u een vergunning aanvraagt, verwerkt de AP persoonsgegevens van u. Hoe de AP omgaat met uw gegevens, leest u in de privacyverklaring van de AP.

Beoordeling aanvraag vergunning

De AP toetst of uw voorgenomen verwerking voldoet aan de eisen uit de AVG en de UAVG. De AP kan alleen een vergunning afgeven als u minimaal aan de volgende 3 voorwaarden voldoet:

1. Noodzakelijkheid

De verwerking van de strafrechtelijke persoonsgegevens moet noodzakelijk zijn. Dit betekent onder meer dat u uw doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de privacy van de betrokkenen.

2. Zwaarwegend belang

De verwerking van de strafrechtelijke persoonsgegevens moet noodzakelijk zijn voor het zwaarwegende belang van derden.

3. Waarborgen

U treft zodanig waarborgen dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad door uw verwerking.

Deze waarborgen moeten voldoende invulling geven aan de beginselen uit artikel 5 AVG:

U moet de waarborgen opnemen in het protocol. Zorg ervoor dat het protocol voldoende duidelijk, concreet en gedetailleerd is. Uit het protocol moet duidelijk en precies blijken hoe de gegevensverwerking er feitelijk uitziet en welke waarborgen gelden. Houd voor ogen dat het protocol ook leesbaar en eenvoudig te begrijpen moet zijn voor de betrokkenen. 

Modelprotocol

Voor sommige verwerkingen heeft de AP al een modelprotocol goedgekeurd. Dit geldt voor een aantal zwarte lijsten:

Wilt u voor zo’n verwerking een vergunning aanvragen, dan kunt u aansluiten bij het modelprotocol. Voor meer informatie kunt u terecht bij uw branchevereniging of de AP.

Voorschriften vergunning

De AP kan voorschriften verbinden aan de vergunning. Bijvoorbeeld dat de vergunning 5 jaar geldig is. En dat u het eerst voorlegt aan de AP als u iets in het protocol wilt wijzigen.

Algemene wet bestuursrecht

De AP behandelt uw aanvraag voor een vergunning conform de Algemene wet bestuursrecht en de daarin opgenomen termijnen.

De AP heeft 8 weken de tijd om een besluit te nemen over uw vergunningaanvraag. Is deze termijn te kort om uw aanvraag te kunnen behandelen? Dan stelt de AP een nieuwe, redelijke beslistermijn vast. Hoe lang die is, kan per geval verschillen.

Verleent de AP u de vergunning? Dan publiceert de AP het besluit en het door u opgestelde protocol op de website van de AP, tenzij er een uitzondering geldt op de Wet open overheid (Woo).

Register vergunningen

In het Register vergunningen staan alle vergunningen die de AP heeft verleend. En ook de aanvragen voor een vergunning die de AP heeft afgewezen.

Snelle antwoorden

Moet ik voor een zwarte lijst altijd een vergunning aanvragen?

Nee. U heeft geen vergunning nodig wanneer u de zwarte lijst alleen intern gebruikt. En ook niet als u de zwarte lijst wel deelt, maar er geen strafrechtelijke persoonsgegevens op staan.

Moet ik als particulier recherchebureau een vergunning aanvragen?

U hoeft geen vergunning aan te vragen bij de Autoriteit Persoonsgegevens voor het delen van strafrechtelijke gegevens. Wel moet u een vergunning hebben op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr). Die vraagt u aan bij Justis.

Zie verder: Particuliere recherche.

Moet ik een vergunning aanvragen voor het delen van strafrechtelijke gegevens van personeel binnen mijn concern?

Nee, maar alleen als u voldoet aan deze 2 voorwaarden:
 

  1. U mag alleen strafrechtelijke gegevens delen over personeel dat binnen uw concern in dienst is.
  2. U moet de ondernemingsraad om instemming hebben gevraagd voordat u de strafrechtelijke gegevens gaat delen. Dit volgt uit artikel 27, lid 1, onder k van de Wet op de ondernemingsraden.

Is een vergunning verplicht voor het delen van strafrechtelijke gegevens tussen overheidsorganisaties?

Er is geen vergunning nodig als er sprake is van een publiekrechtelijk samenwerkingsverband. In artikel 33, lid 1 , onder b van de UAVG staat dit soort samenwerkingsverbanden afzonderlijk als uitzondering genoemd.

Wel gelden deze 2 voorwaarden:
 

  1. De verwerking is noodzakelijk voor deze overheidsorganisaties om hun taak uit te voeren.
  2. De overheidsorganisaties treffen zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.