Verstrekken van persoonsgegevens

Verstrekking moet verenigbaar zijn met doel

Wilt u als organisatie persoonsgegevens verstrekken aan een andere organisatie? Doorgaans heeft u persoonsgegevens niet (mede) met dat doel verzameld. Daarom zal dat vaak niet toegestaan zijn. U moet immers een duidelijk doel hebben om persoonsgegevens te mogen verzamelen. En u mag de gegevens vervolgens niet voor een ander doel verwerken (verstrekken is een vorm van verwerken). Dat is een van de hoofdregels voor de bescherming van persoonsgegevens en wordt 'doelbinding' genoemd.

Deze eis van doelbinding is streng, maar de AVG geeft wel wat ruimte: verdere verwerking van persoonsgegevens is toegestaan als die verwerking verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dat houdt in dat er een concreet, logisch en nauw verband moet zijn tussen het oorspronkelijke doel en de verdere verwerking. En dat de verdere verwerking ook aansluit bij de verwachtingen van de betrokkene(n). 

Heeft u voor de verstrekking van persoonsgegevens aan een andere organisatie geen toestemming gekregen van de betrokkene(n)? En volgt de verstrekking ook niet uit een wettelijke bepaling? Dan mag u de gegevens alleen verstrekken als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor u de gegevens heeft verzameld. U moet dit zelf toetsen.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

• Is er een verband met het doel waarvoor u de gegevens heeft verzameld?
• Binnen welk kader heeft u de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen u en de betrokkene(n)?
• Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
• Wat zijn de (mogelijke) gevolgen van een verstrekking?
• Zijn er passende waarborgen, zoals versleuteling of pseudonimisering van de gegevens?
• Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking van persoonsgegevens aan een andere organisatie zal hier echter niet snel aan voldoen. Want vaak:

• staat het doel van de verstrekking of van die andere organisatie juist ver af van het oorspronkelijke doel;
• kan verstrekking aan een andere organisatie juist wel vergaande gevolgen hebben;
• kan verstrekking voor de betrokkene(n) verrassend kan zijn. 

Verstrekking is verenigbaar

Is de verstrekking van persoonsgegevens toch verenigbaar? Dan mag u de gegevens verstrekken. U doet dit op basis van dezelfde grondslag als de grondslag op basis waarvan u de gegevens heeft verzameld. U heeft dan dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van persoonsgegevens niet verenigbaar? Dan mag u de gegevens alleen verstrekken als de betrokkene u toestemming geeft om de gegevens (ook) voor de nieuwe doelstelling te verwerken. Of als de wetgever met het oog op specifieke, zwaarwegende belangen bepaald heeft dat de al verzamelde gegevens ook voor andere doeleinden mogen worden gebruikt. 

Heeft u een geldige grondslag, dan kunt u wel een nieuwe doelstelling formuleren en daarvoor nieuwe persoonsgegevens gaan verzamelen.