Verstrekken van persoonsgegevens
Op deze pagina
Verstrekking persoonsgegevens verenigbaar met doel
Wilt u als organisatie persoonsgegevens verstrekken aan een andere organisatie? Dan verwerkt u de gegevens voor een ander doel dan waarvoor u de gegevens heeft verzameld (verstrekken is een vorm van verwerken).
Heeft u hiervoor geen toestemming gekregen van de betrokkene(n), dat wil zeggen de persoon of personen van wie u gegevens verwerkt? En staat ook niet ergens in een wettelijke bepaling dat u de gegevens moet verstrekken? Dan mag u de gegevens alleen verstrekken als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor u de gegevens heeft verzameld.
Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:
- Is er een verband met het doel waarvoor u de gegevens heeft verzameld?
- Binnen welk kader heeft u de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen u en de betrokkene(n)?
- Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
- Wat zijn de (mogelijke) gevolgen van een verstrekking?
- Zijn er passende waarborgen, zoals versleuteling of pseudonimisering van de gegevens?
- Wat zijn de verwachtingen van de betrokkene(n)?
AVG-grondslagen voor verstrekking
Is de verstrekking van gegevens verenigbaar? Dan heeft u daarnaast 1 van de 6 grondslagen uit de AVG nodig om de gegevens te mogen verstrekken. De 6 grondslagen zijn:
- Toestemming van de betrokkene
- Uitvoeren van de overeenkomst
- Wettelijke verplichting
- Vitaal belang van de betrokkene
- Uitvoeren van publiekrechtelijke taak
- Gerechtvaardigd belang
Toestemming van de betrokkene
U mag iemands persoonsgegevens verstrekken als diegene daarvoor toestemming heeft gegeven. U moet de betrokkene(n) wel eerst goed informeren. Zodat duidelijk is waarvoor de toestemming is. En wat de gevolgen zijn van toestemming geven.
Let op: Betrokkenen kunnen hun toestemming altijd intrekken. Daarmee vervalt de wettelijke grondslag voor verstrekking van persoonsgegevens. Het is daarom aan te raden om de verstrekking te baseren op een van de andere AVG-grondslagen, als dat kan.
Uitvoeren van een overeenkomst
U mag iemands persoonsgegevens verstrekken aan een andere organisatie als dat nodig is om een overeenkomst met die persoon uit te voeren. Bijvoorbeeld: iemand heeft bij u als telecombedrijf een smartphone besteld. U mag dan de gegevens van deze persoon verstrekken aan een bezorgdienst.
Wettelijke verplichting
Soms moet u als organisatie bepaalde persoonsgegevens verstrekken om te voldoen aan een wettelijke verplichting. U kunt bijvoorbeeld op grond van artikel 47 van de Algemene wet inzake rijksbelastingen verplicht zijn om gegevens aan de Belastingdienst te verstrekken.
Vitaal belang van de betrokkene
U mag persoonsgegevens verstrekken bij een vitaal belang van de betrokkene. Bijvoorbeeld een dringende medische noodzaak. Het is dan wel beter om toestemming te vragen aan de betrokkene. Alleen als dat niet meer mogelijk is, mag u zonder toestemming persoonsgegevens verstrekken. Bijvoorbeeld omdat de betrokkene buiten bewustzijn is.
Uitvoeren van een publiekrechtelijke taak
Als overheidsorganisatie mag u persoonsgegevens verstrekken als dat noodzakelijk is om uw publiekrechtelijke taak goed te kunnen uitvoeren. Het kan hierbij gaan om een taak van uzelf of van de overheidsorganisatie die de gegevens ontvangt.
Het Openbaar Ministerie (OM) kan bijvoorbeeld informatie over een strafbaar feit verstrekken aan verzekeraars. Zo kan de schade op de dader worden verhaald. Deze verstrekking vloeit voort uit de taak van het OM, die onder meer is om voor de belangen van slachtoffers op te komen.
Gerechtvaardigd belang
Als bedrijf mag u gegevens verstrekken als dat noodzakelijk is om uw gerechtvaardigd belang te behartigen. U moet zich wel afvragen of u hetzelfde resultaat kunt bereiken met anonieme gegevens, met minder gegevens of via een minder ingrijpende weg. Ook moet u een privacytoets uitvoeren. Dit betekent dat u uw belang om de gegevens te verstrekken moet afwegen tegen het privacybelang van de betrokkene(n).