Veel bedrijven verzamelen persoonsgegevens. Soms hebben ze deze gegevens nodig om bijvoorbeeld een bestelling af te kunnen leveren. Denk hierbij aan het vragen van adresgegevens in een webshop. Op veel websites worden ook de cookies getrackt. Deze worden gebruikt voor veelal remarketing en andere (marketing) doeleinden. In enkele gevallen worden deze persoonsgegevens door het bedrijf aan derden verstrekt. De vraag is natuurlijk: ‘Mag dat zo maar?’

Om te beginnen is het van belang of een organisatie überhaupt persoonsgegevens mag verwerken. Vervolgens zijn er regels gebonden aan het verstrekken van deze gegevens.

In dit blogartikel staan we stil bij het verstrekken van persoonsgegevens aan derden en wanneer dit is toegestaan. Om inzichtelijk te maken hoe dit precies zit, staan we stil bij de volgende onderwerpen:

Wilt u weten hoe u privacy by design kunt implementeren in uw organisatie? In ons gratis e-book lichten wij de principes van privacy by design voor u toe. Download hem gratis!

 

Lees verder onder de afbeelding.

Persoonsgegevens verwerken - Handen op toetsenbord

Persoonsgegevens verwerken

Voordat een bedrijf persoonsgegevens kan verstrekken aan derden, moet er stilgestaan worden bij de vraag of dit bedrijf überhaupt toestemming heeft om persoonsgegevens te verwerken. Om dit te mogen doen moet een organisatie namelijk een geldige rechtsgrondslag hebben. Dat is één van de volgende:

  • Toestemming: De verwerking vindt plaats met (geregistreerde) toestemming van de betrokkenen (degene van wie de persoonsgegevens zijn);
  • Uitvoering overeenkomst: De verwerking vindt plaats op basis van een overeenkomst met de betrokkenen of verantwoordelijke organisatie;
  • Wettelijke verplichting: De verwerking vindt plaats vanwege een wettelijke verplichting;
  • Publiekrechtelijke taak: De verwerking vindt plaats op basis van een publiekrechtelijke taak (typisch overheid);
  • Vitaal belang: De verwerking vindt plaats op basis van vitaal belang voor de betrokkenen zelf;
  • Gerechtvaardigd belang: De verwerking vindt plaats vanwege gerechtvaardigd belang van de verantwoordelijke organisatie.

Daarnaast mag verwerking van persoonsgegevens enkel plaatsvinden met betrekking tot een bepaald doel, bijvoorbeeld de aflevering van een aankoop. De verwerking van gegevens mag dan alleen binnen deze doelstelling plaatsvinden.

Verstrekken van gegevens

Ervan uitgaande dat de rechtsgrondslag en het doel er zijn, is het belangrijk om na te gaan wie de ‘derden’ zijn. Hierbij dient er onderscheid te maken met betrekking tot organisaties binnen de Europese Unie en organisaties buiten de Europese Unie.

Binnen de Europese Unie

Voor vrijwel alle organisaties binnen de Europese Unie geldt dat het verstrekken van persoonsgegevens op basis van een overeenkomst dient te gebeuren. In veel gevallen is dit een verwerkersovereenkomst, of een variant hierop. In deze overeenkomst is vastgelegd welke gegevens worden uitgewisseld en hoe aan de rechten van de betrokkenen, de beveiliging, afhandeling van datalekken en andere wettelijke verplichtingen wordt voldaan.

Het kan zijn dat een organisatie waarmee gegevens worden uitgewisseld zelf verantwoordelijk is voor het correct verwerken van persoonsgegevens. Dit is bijvoorbeeld het geval bij een accountant die ‘onafhankelijk’ moet zijn en dus niet vanuit een verwerkersovereenkomst kan handelen. Een dergelijke partij is dan dus zelf verantwoordelijk voor de beveiliging, afhandeling van datalekken etc. Voor uitwisseling van persoonsgegevens moet dit wel helder worden vastgelegd.

Buiten de Europese Unie

Voor organisaties buiten de Europese Unie is het mogelijk om persoonsgegevens uit te wisselen maar dit is een stuk complexer. Zo dient er eveneens een overeenkomst te zijn, maar deze is een stuk omvangrijker omdat er geen overkoepelende regelgeving van toepassing is voor beide partijen. Er moet dus veel meer worden vastgelegd en geregeld worden. Daarnaast zijn er ook nog verschillen te herkennen tussen verschillende landen of regio’s. Zo heeft de Europese Unie bijvoorbeeld een overeenkomst met Japan waardoor een aantal zaken eenvoudiger te regelen zijn. Maar ook in dit geval is er geen ‘gewone’ verwerkersovereenkomst van toepassing.

Voorwaarden

Het belangrijkste is wellicht dat een bedrijf geen persoonsgegevens mag verstrekken wanneer de betrokkenen hier niet van op de hoogte zijn (of kunnen zijn). Informeren moet transparant en duidelijk gebeuren. Bij voorkeur heeft iedere betrokkene toestemming gegeven, maar moeten minimaal de mogelijkheid hebben om bezwaar te maken (conform de AVG).

Uw informatiebeveiliging op orde

Kort samengevat is het voor een organisatie mogelijk om persoonsgegevens met derden te delen indien de betrokkenen hiervan op de hoogte zijn en eventueel bezwaar kunnen maken. De andere partij dient binnen de Europese Unie actief te zijn en er dient een passende verwerkersovereenkomst mee worden afgesloten.

Uiteraard zijn er uitzonderingen en mogelijk extra voorwaarden afhankelijk van de specifieke situatie en omstandigheden. Wilt u informatie met betrekking tot uw eigen situatie/vraag, neem dan vrijblijvend contact met ons op.

Aan de hand van bovenstaande informatie is hopelijk duidelijk geworden wanneer een organisatie persoonsgegevens mag verstrekken aan derden. Wilt u meer informatie of wilt u weten hoe u uw informatiebeveiliging aan kunt pakken of verbeteren? Wij helpen u graag. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

Wilt u weten hoe u privacy by design kunt implementeren in uw organisatie? In ons gratis e-book lichten wij de principes van privacy by design voor u toe. Download hem gratis!

 

Wij helpen bedrijven met hun digitale veiligheid