Doorgifte van persoonsgegevens tussen bestuursorganen- een praktijkgeval.
Nieuwe jurisprudentie
De Rechtbank Overijssel heeft zich uitgesproken over de vraag of een bestuursorgaan op rechtmatige wijze persoonsgegevens heeft doorgegeven aan een ander bestuursorgaan. De rechtbank oordeelde dat de doorgifte in strijd was met de proportionaliteit en de subsidiariteit.
Verzoek tot inzage
Aanleiding was een verzoek tot inzage van de belanghebbende aan de gemeente Deventer. De belanghebbende verzocht de gemeente een begrijpelijk en volledig overzicht te verstrekken van de door haar verwerkte persoonsgegevens, alsmede een omschrijving van het doel van de verwerkers en met wie deze gegevens gedeeld worden.
Bezwaar
De gemeente heeft bij besluit aan dit verzoek gehoor gegeven. De belanghebbende heeft tegen dit besluit bezwaar gemaakt, met als reden dat de gemeente niet volledig gehoor heeft gegeven aan het verzoek, aangezien een ander bestuursorgaan in 2013 via een e-mail persoonsgegevens van de belanghebbende heeft ontvangen. De commissie die het bezwaar behandelde, heeft het bezwaar afgewezen met als gevolg dat de belanghebbende het geschil bij de rechter heeft voorgelegd.
Het oordeel van de rechtbank
De gemeente Deventer beriep zich op het gegeven dat de doorzending van persoonsgegevens noodzakelijk was voor de goede vervulling van een publiekrechtelijke taak. Zij had dit volgens de rechtbank echter niet goed onderbouwd waardoor deze stelling niet kan gevolgd kon worden.
De rechtbank oordeelde derhalve dat de beginselen van proportionaliteit en subsidiariteit zijn geschonden. De beginselen van proportionaliteit en subsidiariteit zijn algemene rechtsbeginselen die ook binnen de AVG een substantiële rol innemen. Kort gezegd houden deze beginselen in het licht van de AVG in dat enkel de persoonsgegevens die nodig zijn voor een bepaald doel verwerkt mogen worden (proportioneel). Wanneer er een minder ingrijpende wijze is om het doel te bereiken dan verplicht het subsidiariteitsbeginsel dat voor deze wijze gekozen moet worden.
Betekenis
In deze zaak heeft de rechtbank geoordeeld dat niet is gehandeld conform de beginselen van de AVG. Immers volgt de rechtbank de stelling van de belanghebbende dat de gemeente Deventer het andere bestuursorgaan ook had kunnen informeren zonder persoonsgegevens te delen. De rechtbank stelt ook dat de gemeente Deventer nader onderzoek had moeten doen om te achterhalen of persoonsgegevens van de belanghebbende vaker zijn verwerkt in de e-mailboxen binnen de gemeente.
Hieruit blijkt nog maar eens dat organisaties ook intern een strikt beleid moeten hanteren als het gaat om doorgifte van persoonsgegevens. Wanneer er voor een minder ingrijpende wijze gekozen kan worden is deze wijze dus leidend. Wanneer persoonsgegevens binnen een organisatie tussen afdelingen worden gedeeld, is daarvoor een rechtsgrond uit de AVG vereist. De keuze voor de rechtsgrond dient gemotiveerd te worden. Om dit op een overzichtelijke wijze te doen is een register van verwerkingen noodzakelijk.
mr. K.S. (Keshia) Echter
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Zaamzorg Amsterdam, PRO Groep, Kindercentrum Panta Rhei, stichting Nieuw Unicum en Equipe Zorgbedrijven.
E-mail: echter@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.
Wat kost een Functionaris Gegevensbescherming (FG)?
Onder de AVG zijn (semi)overheidsinstanties, scholen, organisaties die op grote schaal persoonsgegevens verwerken en organisaties die bijzondere persoonsgegevens verwerken (bijvoorbeeld in de gezondheidszorg), verplicht om een Functionaris Gegevensbescherming (of Data Protection Officer) aan te stellen. Het correct invullen van een nieuwe functie is sneller gezegd dan gedaan. Het tijdelijk of permanent uitbesteden van deze functie is aantrekkelijk.
Maar wat zijn de kosten voor de organisatie?
Extern, is dat wel handig?
Een Functionaris Gegevensbescherming (hierna: FG) moet voldoende kennis hebben, maar ook onafhankelijk zijn binnen de organisatie. Het uitbesteden van deze positie ligt dan ook voor de hand. Nota bene: de Autoriteit Persoonsgegevens heeft zelf ook een externe FG aangesteld.
De onafhankelijkheid kan in de dienstverleningsovereenkomst worden geborgd. Bovendien is het kennisniveau van een externe FG in veel gevallen hoger, omdat deze zich fulltime met privacy vraagstukken bezig houdt. Hier kunt u meer lezen over de voordelen van een externe Functionaris Gegevensbescherming. De vraag die in dit artikel centraal staat is: wat kost dat nu?
Wat het aanstellen van een FG kost verschilt uiteraard van organisatie tot organisatie. Bovendien zal in de praktijk moeten blijken hoeveel tijd een FG nodig heeft om zijn taak goed uit te kunnen voeren. Vooralsnog maken wij de volgende inschatting, die wij vanuit het oogpunt van transparantie publiceren.
Onafhankelijkheid borgen
U kunt bij AVG juristen een externe FG-inhuren. Er wordt een overeenkomst gesloten voor de periode van 24 maanden. Deze periode is ervoor bedoeld om de onafhankelijkheid van de FG te waarborgen, één van de eisen in de AVG. Als er een goede reden om af te wijken van de standaard termijn kan dat natuurlijk. Vooral bij een mogelijke fusie of overname is een kortere termijn aan de orde, of als u op termijn een interne FG gaat werven. In dat geval bent u niet gebonden aan deze termijn en kunt u een interim FG aanstellen. Lees daar meer over op deze pagina.
Invulling taak, tijdsbesteding
De taak van een FG wordt in de wet beschreven. Over de wettelijke taken verwijzen wij u naar dit artikel. De kerntaak van een FG is het informeren en adviseren van een organisatie bij het opstellen en uitvoeren van haar haar privacybeleid. De FG kan daarnaast worden ingezet om het beleid mee te ontwikkelen. Wordt beleid door interne medewerkers ontwikkeld, dan kan de functie met minder uren toch wettelijk juist worden uitgevoerd. De FG adviseert en controleert in dat geval alleen maar.
Na een scan van de onderneming wordt er een inschatting gemaakt van de tijd die de FG per maand nodig heeft om zijn taken uit te voeren. De ingeschatte tijd komt vrijwel altijd overeen met de praktijk. Het kan natuurlijk dat er meer tijd nodig is, bijvoorbeeld omdat er aanpassingen worden gedaan in het bedrijfsproces of omdat er een groot incident afgehandeld moet worden.
Doorgaans komen wij tot de volgende tijdsinschatting (hier kunnen geen rechten aan worden ontleend):
| Aantal FTE | Tijdsbesteding per jaar | Invulling |
|---|---|---|
| t/m 35 FTE: | 3 dagen per jaar | 1 dag per 4 maanden |
| 36 t/m 120 FTE: | 6 dagen per jaar | 1 dag per 2 maanden |
| 120 + FTE: | 12-18 dagen per jaar | 1 dag per maand vast, rest variabel |
Bij de kosteninschatting zijn wij uitgegaan van de tariefstelling van AVG Juristen. Voor FG dienstverlening hanteren wij een aangepast uurtarief van € 139,- exclusief btw (20% korting op het reguliere tarief).
Een FG kost uw organisatie op basis van deze inschatting dan:
| Aantal FTE | Tijdsbesteding per jaar | Kosten (per maand, ca.) |
|---|---|---|
| t/m 35 FTE: | 3 dagen per jaar | € 275,- |
| 36 t/m 120 FTE: | 6 dagen per jaar | € 550,- |
| 120 + FTE: | 12-18 dagen per jaar | € 1.099,- |
Meer informatie?
Wil je weten of een FG ook voor jouw organisatie nodig is, of wat onze specialisten voor jou kunnen betekenen? Download dan hier onze brochure of bel: 030 – 78 52 791 voor meer informatie.
mr. C.M. (Maarten) de Man
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Gemeente Heemskerk, Gemeente Nederweert, Rekenkamer Den Haag, Payroll Select en ArGon Arbodienstverlening.
E-mail: deman@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.
