10.3.1 Wettelijk kader

419. Ook de Wet bescherming persoonsgegevens (Wbp) kan beperkingen stellen aan interne informatie-uitwisseling, namelijk indien de informatie bestaat uit persoonsgegevens. Overtreding van de bepalingen van de Wbp kan onder meer leiden tot een last onder dwangsom (art. 65 Wbp) of een bestuurlijke boete van maximaal € 820.000 of 10% van de jaaromzet van de rechtspersoon (art. 66 Wbp).1 Per 25 mei 2018 treedt Verordening (EU) 2016/679 (Algemene verordening gegevensbescherming, hierna: AVG) in de plaats van de Wbp. In deze Europese verordening zijn substantieel hogere maximale boetes opgenomen (zie art. 83 AVG). Materieel zal er niet veel veranderen.2 Ik zal hierna bij verwijzingen naar de Wbp steeds in voetnoten aangeven wat het equivalent van deze bepaling in de AVG is, voor zover dit bestaat.

De Wbp ziet alleen op gegevens betreffende een geïdentificeerde of identificeerbare levende natuurlijke persoon (art. 1 sub a Wbp3), inclusief gegevens over een eenmanszaak die te herleiden zijn tot de natuurlijke persoon die de eenmanszaak exploiteert.4 Daarnaast moeten deze gegevens hetzij (gedeeltelijk) geautomatiseerd zijn verwerkt, hetzij in een bestand zijn opgenomen (art. 2 lid 1 Wbp5). De Wbp stelt dus geen limiet aan de informatie die functionarissen mondeling aan elkaar mogen overdragen.

De Wbp kan zowel beperkingen stellen aan de opslag van gegevens door de wetende functionaris als aan de raadpleegbaarheid daarvan door de handelende functionaris. Adressaat van de Wbp is de verantwoordelijke; in de context van dit onderzoek is dat de rechtspersoon die het doel en de middelen voor de gegevensverwerking vaststelt, zie art. 1 sub d Wbp.6 Individuele functionarissen lopen geen risico op een last onder dwangsom of boete.7

420. Het opslaan, doorleiden en opvragen van persoonsgegevens zijn verschijningsvormen van het verwerken van persoonsgegevens, zoals gedefinieerd in art. 1 sub b Wbp.8 Persoonsgegevens mogen slechts worden verwerkt indien de verantwoordelijke hiervoor een rechtvaardigingsgrond heeft. Deze gronden zijn limitatief opgesomd in art. 8 Wbp.9 Naast het geval waarin de betrokkene10 ondubbelzinnig toestemming voor de verwerking heeft gegeven (art. 8 sub a Wbp11), zijn de meest relevante gevallen voor dit onderzoek:

Ten aanzien van bepaalde typen persoonsgegevens, de zogeheten bijzondere persoonsgegevens, geldt een bijzondere regeling. Het betreft persoonsgegevens omtrent godsdienst of levensovertuiging, ras, politieke gezindheid, seksueel leven, lidmaatschap van een vakbond, gezondheid, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Het verwerken van deze gegevens is verboden (art. 16 Wbp15), tenzij een van de in art. 17 tot en met 22 Wbp16 genoemde specifieke uitzonderingen of een van de in art. 23 Wbp17 genoemde algemene uitzonderingen van toepassing is. Zo mogen verzekeraars en assurantietussenpersonen gezondheidsgegevens verwerken voor zover dat noodzakelijk is voor de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt, evenals voor de uitvoering van de verzekeringsovereenkomst (art. 21 lid 1 sub b Wbp).18 Werkgevers mogen gezondheidsgegevens verwerken voor zover dat noodzakelijk is voor een CAO die voorziet in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene of voor de re-integratie of begeleiding van werknemers in verband met ziekte of arbeidsongeschiktheid (art. 21 lid 1 sub f Wbp).19 Een verantwoordelijke mag ten eigen behoeve strafrechtelijke persoonsgegevens verwerken ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren (art. 22 lid 2 sub a Wbp).20 Deze grond zal bijvoorbeeld van toepassing zijn op een verzekeraar die een aanvraag voor een brandverzekering ontvangt en in dat kader gegevens verwerkt over een eventuele eerdere veroordeling van de aanvrager wegens brandstichting.

De hiervoor beschreven rechtvaardigingsgronden en uitzonderingen bepalen of het de rechtspersoon, en daarmee de wetende functionaris, überhaupt is toegestaan om persoonsgegevens op te slaan en voor collega’s beschikbaar te maken.

421. Ook dient de rechtspersoon de algemene eisen in acht te nemen die gelden voor de verwerking van persoonsgegevens. Deze eisen zijn neergelegd in de artikelen 6 tot en met 15 Wbp. Een aantal bepalingen springt in het kader van informatie-uitwisseling binnen organisaties in het bijzonder in het oog. Zo bepaalt art. 11 Wbp21 dat persoonsgegevens slechts mogen worden verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Dit kan rechtvaardigen dat de wetende functionaris minder persoonsgegevens opslaat dan waarvan hij zelf kennis neemt.

Op grond van art. 10 Wbp22 mogen persoonsgegevens niet langer worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt. Dit is een open norm, die deels wordt ingevuld door bewaartermijnen die zijn opgenomen in wetten in formele zin en in decentrale regelgeving. Zo zijn diverse indicaties van bewaartermijnen opgenomen in het Vrijstellingsbesluit Wbp, een besluit dat voorziet in uitzonderingen op de verplichte melding van gegevensverwerkingen bij de Autoriteit Persoonsgegevens (voorheen het College bescherming persoonsgegevens). Art. 7 lid 5 van het Vrijstellingsbesluit Wbp bepaalt bijvoorbeeld dat de houder van een personeelsadministratie de persoonsgegevens van zijn werknemers uiterlijk twee jaar na het einde van het dienstverband dient te verwijderen uit de personeelsadministratie, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. Een voorbeeld van een wettelijke bewaarplicht is de fiscale bewaarplicht van zeven jaar, vastgelegd in art. 52 lid 4 AWR; deze rechtvaardigt dat (in verband met de loonbelasting) salarisgegevens zeven jaar lang worden bewaard. De vernietiging van persoonsgegevens ter voldoening aan art. 10 Wbp zal ertoe leiden dat bepaalde persoonsgegevens die ooit binnen de rechtspersoon beschikbaar waren, dat niet langer zijn. Voor persoonsgegevens waarvoor geen wettelijke bewaarplicht geldt, zal de verantwoordelijke aan de Autoriteit Persoonsgegevens moeten kunnen aantonen waarom het in zijn specifieke situatie nog steeds noodzakelijk is om de gegevens te bewaren.

422. Voor de beantwoording van de vraag of het gerechtvaardigd is dat de handelende functionaris geen toegang heeft tot persoonsgegevens die op zich wel binnen de rechtspersoon beschikbaar zijn, is vooral art. 13 Wbp relevant, in samenhang met art. 7 en 9 Wbp.23 Art. 13 Wbp verplicht de verantwoordelijke om passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen moeten er mede op zijn gericht om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Dit betekent bijvoorbeeld dat alleen geautoriseerde functionarissen toegang krijgen tot bepaalde gegevens binnen een organisatie, wanneer zij deze gegevens nodig hebben ter uitvoering van hun functie (need-to-know-basis). De facto zullen dergelijke maatregelen leiden tot een beperking van de interne informatie-uitwisseling, vooral tussen verschillende afdelingen. Art. 25 AVG (privacy by design) verplicht de verwerkingsverantwoordelijke in aanvulling hierop tot het treffen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen. Ook moet hij maatregelen treffen die ervoor zorgen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

423. Veelal zal de verstrekking van gegevens door de ene functionaris aan de andere plaatsvinden in het kader van een gehele gegevensverwerking en daarmee ten behoeve van een van de doeleinden die de rechtspersoon vooraf heeft aangewezen voor deze verwerking van persoonsgegevens (zie art. 7 Wbp24). Doorstaat de oorspronkelijke opslag van gegevens door de wetende functionaris de toets van de Wbp, dan zal dat vaak ook gelden voor de doorgifte van deze gegevens aan de handelende functionaris in het kader van de gegevensverwerking. Werkt de handelende functionaris echter op een andere afdeling en heeft hij de persoonsgegevens nodig voor een ander doel dan een van de doelen waarvoor de persoonsgegevens oorspronkelijk werden verzameld, dan kan er sprake zijn van een nieuwe verwerking, of van een verdere verwerking in de zin van art. 9 Wbp,25 die niet onverenigbaar mag zijn met de doeleinden waarvoor de gegevens zijn verkregen.