Nieuwe jurisprudentie

De Rechtbank Overijssel heeft zich uitgesproken over de vraag of een bestuursorgaan op rechtmatige wijze persoonsgegevens heeft doorgegeven aan een ander bestuursorgaan. De rechtbank oordeelde dat de doorgifte in strijd was met de proportionaliteit en de subsidiariteit.

Aanleiding was een verzoek tot inzage van de belanghebbende aan de gemeente Deventer. De belanghebbende verzocht de gemeente een begrijpelijk en volledig overzicht te verstrekken van de door haar verwerkte persoonsgegevens, alsmede een omschrijving van het doel van de verwerkers en met wie deze gegevens gedeeld worden.

De gemeente heeft bij besluit aan dit verzoek gehoor gegeven. De belanghebbende heeft tegen dit besluit bezwaar gemaakt, met als reden dat de gemeente niet volledig gehoor heeft gegeven aan het verzoek, aangezien een ander bestuursorgaan in 2013 via een e-mail persoonsgegevens van de belanghebbende heeft ontvangen. De commissie die het bezwaar behandelde, heeft het bezwaar afgewezen met als gevolg dat de belanghebbende het geschil bij de rechter heeft voorgelegd.

De gemeente Deventer beriep zich op het gegeven dat de doorzending van persoonsgegevens noodzakelijk was voor de goede vervulling van een publiekrechtelijke taak. Zij had dit volgens de rechtbank echter niet goed onderbouwd waardoor deze stelling niet kan gevolgd kon worden.

De rechtbank oordeelde derhalve dat de beginselen van proportionaliteit en subsidiariteit zijn geschonden. De beginselen van proportionaliteit en subsidiariteit zijn algemene rechtsbeginselen die ook binnen de AVG een substantiële rol innemen. Kort gezegd houden deze beginselen in het licht van de AVG in dat enkel de persoonsgegevens die nodig zijn voor een bepaald doel verwerkt mogen worden (proportioneel). Wanneer er een minder ingrijpende wijze is om het doel te bereiken dan verplicht het subsidiariteitsbeginsel dat voor deze wijze gekozen moet worden.

In deze zaak heeft de rechtbank geoordeeld dat niet is gehandeld conform de beginselen van de AVG. Immers volgt de rechtbank de stelling van de belanghebbende dat de gemeente Deventer het andere bestuursorgaan ook had kunnen informeren zonder persoonsgegevens te delen. De rechtbank stelt ook dat de gemeente Deventer nader onderzoek had moeten doen om te achterhalen of persoonsgegevens van de belanghebbende vaker zijn verwerkt in de e-mailboxen binnen de gemeente.

Hieruit blijkt nog maar eens dat organisaties ook intern een strikt beleid moeten hanteren als het gaat om doorgifte van persoonsgegevens. Wanneer er voor een minder ingrijpende wijze gekozen kan worden is deze wijze dus leidend. Wanneer persoonsgegevens binnen een organisatie tussen afdelingen worden gedeeld, is daarvoor een rechtsgrond uit de AVG vereist. De keuze voor de rechtsgrond dient gemotiveerd te worden. Om dit op een overzichtelijke wijze te doen is een register van verwerkingen noodzakelijk.

Download dan hier onze brochure of bel: 030 – 78 52 791.

Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.