Samenwerkingsverbanden in lijn brengen met de AVG: een stappenplan

Overheden werken op verschillende beleidsterreinen samen om hun taken zorgvuldiger te kunnen uitvoeren. Hierbij kan gedacht worden aan gemeenten die samenwerken in een Regionale Uitvoeringsdienst (RUD), een veiligheidsregio of een ICT-samenwerkingsverband. Bij deze samenwerkingsverbanden worden er op grote schaal persoonsgegevens uitgewisseld tussen de verschillende overheden. Overheden hebben een voorbeeldfunctie met betrekking tot het voldoen aan de privacywetgeving (zoals de AVG), met name omdat burgers in veel gevallen verplicht zijn hun persoonsgegevens te verstrekken.

Door het toenemend aantal samenwerkingsverbanden en partijen die deelnemen aan samenwerkingsverbanden, is het niet altijd meer even duidelijk welke persoonsgegevens er worden gedeeld aan welke partijen en wie verantwoordelijk is voor de gegevensverwerkingen. Om deze reden is het belangrijk om:
(1) een overzicht te maken van de deelnemende partijen en de persoonsgegevens die zij verwerken te inventariseren;
(2) de rol te bepalen van de deelnemende partijen en naar aanleiding daarvan een passende overeenkomst af te sluiten;

(3)aantoonbaar te voldoen aan de beginselen van de Algemene Verordening Gegevensbescherming (hierna: AVG).

Het stappenplan zal hieronder nader worden toegelicht.

Voordat er beoordeeld kan worden of de gegevensverwerkingen voldoen aan de AVG, is het van belang om de verschillende partijen in kaart te brengen en deze onder te brengen in een overzicht. In het overzicht kan omschreven worden welke partijen wat voor gegevens met elkaar delen, oftewel: de verschillende gegevensstromen. Het maken van een stroomschema is hierbij aan te bevelen. Tevens dient beoordeeld te worden of het gaat om normale gegevens (denk aan NAW-gegevens) of gevoelige gegevens (denk aan gegevens omtrent de gezondheid). Dit is ook van belang voor het bepalen of een gegevensbeschermingseffectbeoordeling (ex art. 35 AVG) noodzakelijk is.

Let op: in sommige gevallen dient er een gegevensbeschermingseffectbeoordeling (ex art. 35 AVG) uitgevoerd te worden.

Een gegevensbeschermingseffectbeoordeling, ook wel Data Protection Impact Assessment genoemd (of kortweg: DPIA), is verplicht gesteld wanneer het gaat om:

‘het delen van persoonsgegevens in of door samenwerkingsverbanden waarin gemeenten of andere overheden met andere publieke of private partijen bijzondere persoonsgegevens of persoonsgegevens van gevoelige aard (zoals gegevens over gezondheid, verslaving, armoede, problematische schulden, werkloosheid, sociale problematiek, strafrechtelijke gegevens, betrokkenheid van jeugdzorg of maatschappelijk werk) met elkaar uitwisselen, bijvoorbeeld in wijkteams, veiligheidshuizen of informatieknooppunten.’[1]

Met een DPIA brengt de verwerkingsverantwoordelijke de privacyrisico’s van een gegevensverwerking in kaart en neemt passende maatregelen om de betreffende privacyrisico’s af te dekken.

De partijen in een samenwerkingsverband, maar ook het samenwerkingsverband zelf, kunnen volgens de AVG verschillende rollen hebben in het kader van het verwerken van persoonsgegevens. Ten eerste is er de verwerkingsverantwoordelijke. Dit is degene die ‘het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’.[2] De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen die worden genoemd in de AVG.[3] Daarnaast is er de verwerker. Dit is degene die ‘ten behoeve van de verwerkingsverantwoordelijke gegevens verwerkt’.[4]

Naar aanleiding hiervan zijn er verschillende scenario’s denkbaar. Het kan gaan om:

• Afzonderlijke verwerkingsverantwoordelijken

In dit scenario zijn er meerdere verwerkingsverantwoordelijken die ieder een eigen verantwoordelijkheid hebben met betrekking tot het verwerken van persoonsgegevens. Dit is bijvoorbeeld het geval als verschillende ketenpartners na elkaar persoonsgegevens verwerken om hun eigen wettelijke taak uit te voeren.

• Gezamenlijke verwerkingsverantwoordelijken

Er is sprake van een gezamenlijke verantwoordelijkheid ‘wanneer twee of meer verantwoordelijken gezamenlijk de doeleinden en de middelen van de verwerking bepalen’. Indien dit het geval is, dienen er afspraken gemaakt te worden in een regeling gezamenlijke verantwoordelijken over het naleven van de verplichtingen van de AVG, bijvoorbeeld over de uitoefening van de rechten van betrokkenen.

• Verantwoordelijke – verwerker

Ook is het mogelijk dat er een verwerkersconstructie ontstaat, wanneer een partij ten behoeve van de verwerkingsverantwoordelijke(n) gegevens verwerkt. In dat geval dient er een verwerkersovereenkomst gesloten te worden, waarin onder andere afspraken gemaakt dienen te worden over de bewaartermijn en de beveiligingsmaatregelen.

Een combinatie van de bovenstaande scenario’s komt in de praktijk vaak voor.

Voorbeeld Gemeenschappelijke Regeling:

Gemeenten werken vaak samen in de vorm van een Gemeenschappelijke Regeling (hierna: GR). Hierbij kan gedacht worden aan de verschillende omgevingsdiensten die taken uitvoeren op het gebied van vergunningverlening, toezicht en handhaving omtrent milieuzaken.

De deelnemers van een GR zijn in beginsel verwerkingsverantwoordelijken, aangezien zij hun eigen wettelijke taak uitbesteden aan de GR. De GR kan zowel de rol van verwerkingsverantwoordelijke als verwerker innemen. Of de GR als verwerkingsverantwoordelijke of verwerker kan worden aangemerkt is onder andere afhankelijk van:

(1) de soort GR (bijvoorbeeld een openbaar lichaam of een centrumgemeenteconstructie);

(2) de soort bevoegdheidsverlening (mandaat/machtiging of delegatie);

(3) de zeggenschap die de GR heeft over de persoonsgegevens die worden verwerkt (bepaalt de GR bijvoorbeeld het doeleinde van de verwerking).

Let op: het afsluiten van een overeenkomst vindt uitsluitend plaats wanneer de verwerking een gerechtvaardigd doeleinde en een rechtmatige grondslag heeft (zie stap 3). 

Zoals hierboven al werd genoemd, is de verwerkingsverantwoordelijke verantwoordelijk voor het naleven van de beginselen die worden genoemd in de AVG. Eén van de beginselen van de AVG is dat persoonsgegevens uitsluitend ‘voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden’ verzameld mogen worden. De persoonsgegevens ‘mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt’.[5] Dit wordt ook wel het beginsel van doelbinding genoemd. Het is dus belangrijk voor een verwerkingsverantwoordelijke in een samenwerkingsverband om het doeleinde van een verwerking vast te stellen.

Wanneer de verwerkingsverantwoordelijke het doeleinde van een verwerking heeft vastgesteld, dient deze nog gerechtvaardigd te worden door één van de grondslagen die worden genoemd in art. 6 lid 1 AVG. Overheden zullen een verwerking in de meeste gevallen kunnen baseren op ‘een taak van algemeen belang of uitoefening van openbaar gezag’[6] of ‘het voldoen aan een wettelijke verplichting’.[7]

Het verwerken van bijzondere categorieën persoonsgegevens (denk aan gegevens omtrent de gezondheid) is in beginsel verboden, tenzij er sprake is van een ontheffingsgrond in de zin van art. 9 lid 2 AVG. Wanneer er bijzondere categorieën persoonsgegevens worden verwerkt, dient er dus naast een ‘normale’ grondslag, ook sprake te zijn van een ontheffingsgrond. In de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) zijn de ontheffingsgronden genoemd in de AVG nader uitgewerkt.[8]

Het in kaart brengen van de verschillende gegevensstromen, het bepalen van de rol van de partijen en het voldoen aan de beginselen van de AVG zijn geen taken die uitsluitend door een jurist kunnen worden uitgevoerd. Samenwerking met de verschillende afdelingen binnen een organisatie op het gebied van gegevensbescherming, oftewel: privacy management, is essentieel.

Wilt u meer informatie over het verwerken van persoonsgegevens in samenwerkingsverbanden? Neem dan contact op met Tom Klatter.