Solide juridische grondslag voor verstrekken persoonsgegevens binnen ketens

09-03-2020

Arno R. Lodder

In deze blog worden drie voorbeelden van wet- en regelgeving besproken als grondslag voor het verstrekken van persoonsgegevens. Achtergrond is het toenemende berichtenverkeer binnen de (semi) publieke sector, zoals de strafrechtsketen, de belastingen, de sociale zekerheid en de zorgsector.

Wet- en regelgeving: drie voorbeelden

De aanleiding voor het maken van het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) was het verwerpen van het EPD (Elektronisch Patienten Dossier) door de Eerste Kamer in 2011. De focus van het nieuwe besluit is het waarborgen van een veilig digitaal transport van gegevens (zowel pull als push) tussen zorgverleners binnen een regio. De weg, welke gekozen wordt in genoemd besluit, is die van het inrichten van de informatiebeveiliging. De zorgaanbieders, die onderling persoonsgegevens uitwisselen, zijn verplicht de standaarden in de zorgsector toe te passen. Dit zijn de NEN 7510, 7512 en de 7513. Zie artikel 3 en artikel 4.

Ook logging van de gegevensuitwisseling wordt voor de deelnemende zorgaanbieders verplicht. De loggegevens betreffen de gebeurtenis, het tijdstip, de client en de gebruiker van het systeem (artikel 7 van het Besluit). Tevens heeft de Minister voor Medische Zorg in een aanvullend besluit (27 juni 2019) een minimum bewaartermijn van 5 jaar voor logging vastgelegd.

Een tweede voorbeeld is het Besluit Justitiële en Strafvorderlijke Gegevens (artikel 11a Bjsg). Het verstrekken van de persoonsgegevens door de minister van Justitie en Veiligheid aan de gemeenten is aan de volgende voorwaarden – en door mij samengevat – onderhevig :

a) De Minister van Justitie en Veiligheid kan persoonsgegevens van gedetineerden verstrekken aan burgemeester en ambtenaren van een aangewezen gemeente (de ontvanger);

b) De gegevens mogen uitsluitend verstrekt worden ten behoeve van het handhaven van de openbare orde in de betreffende gemeente wegens de terugkeer van de gedetineerde (het doel);

c) De te verstrekken gegevens zijn gespecificeerd in artikel 6 en 7 Bjsg. Hierbij gaat het om identificerende en strafrechtelijke persoonsgegevens (de persoonsgegevens);

d) De betrokkenen moeten veroordeeld zijn voor één of meer van de in artikel 11a Bjsg omschreven misdrijven (de betrokkene);

e) De burgemeester dient de ontvangen gegevens te vernietigen in geval van geen getroffen maatregelen uiterlijk 9 maanden na de verstrekking. Treft de burgemeester wel maatregelen, dan moet hij de gegevens verwijderen uiterlijk 9 maanden na verstrekking. De verwijderde gegevens worden vijf jaar bewaard ten behoeve van het afleggen van verantwoording, waarna de gegevens worden vernietigd (bewaartermijnen).

Een derde voorbeeld is de gewijzigde Wet Justitiële en Strafvorderlijke Gegevens (Wjsg) als invulling van Richtlijn 2016/680 (de evenknie van de AVG). Uitgangspunt is en blijft dat in opdracht van de Minister persoonsgegevens verwerkt kunnen worden, als dit noodzakelijk is voor een goede vervulling van een wettelijke taak of het nakomen van een wettelijke verplichting (artikel 51a Wjsg). Maar hoe te handelen, als deze grondslag ontbreekt? De minister kan onder de volgende condities – en door mij gestructureerd – persoonsgegevens (lees tenuitvoerleggingsgegevens) aan personen of instanties verstrekken (artikel 51c lid 2 en lid 3 Bjsg):

a) De verstrekking moet noodzakelijk zijn met het oog op een zwaarwegend algemeen belang (proportionaliteit);

b) De verstrekking moet bijdragen aan de realisering van één van de vijf in artikel 51c Wjsg omschreven doeleinden. Hiertoe behoort niet alleen resocialisatie van betrokkene, maar ook hulpverlening aan slachtoffers (doeleinden).

c) De verstrekking moet zodanig zijn dat herleiding tot andere personen dan betrokkene redelijkerwijs kan worden voorkomen (belangen van derden).

d) Elke verstrekking wordt minimaal 4 jaar bewaard (bewaartermijn).

Toetsingscriteria voor het beoordelen van nieuwe of te wijzigen wet- en regelgeving

Welke criteria kunnen uit de voorbeelden afgeleid worden met het oog op het beoordelen van nieuwe grondslagen in wet -en regelgeving voor de verstrekking van persoonsgegevens binnen ketens?

Geef allereerst aan in de wettekst welke typen gegevens uitgewisseld worden, toegespitst op de te formuleren doeleinden, ook vast te leggen in de wettekst. Het tweede voorbeeld (Bjsg) hierboven geschetst scoort het hoogst.

De verankering van proportionaliteit kan op verschillende wijze gebeuren. Een goed voorbeeld is het vastleggen van het toetsingscriterium van ‘een zwaarwegend algemeen belang’ in de wettekst. Zie het derde voorbeeld (Wjsg). In de jurisprudentie (bestuursrecht) heeft het criterium duidelijk handen en voeten gekregen.

Ook het concreet maken van bewaar- en vernietigingstermijnen past bij het toepassen van het proportionaliteitsbeginsel. Zie het eerste voorbeeld en het derde voorbeeld.

Uiteindelijk zal elke verstrekking van (gevoelige) persoonsgegevens binnen een beveiligde omgeving moeten plaats vinden. De IEC NEN-normen zijn breed geaccepteerd. Het verplichten van één of meer normen binnen een keten is de basis voor het gezamenlijk treffen van beveiligingsmaatregelen (technisch en organisatorisch). In het besluit ter uitvoering van de wettekst kunnen minimummaatregelen (categorisch) worden omschreven. Een voorbeeld is de combinatie van autorisaties en logging (zie ook artikel 32 lid 1 AVG)


Meer artikelen van SOLV Advocaten

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer