Als organisatie kan je (grote hoeveelheden) persoonsgegevens of zelfs volledige datasets met andere organisaties delen. Dit kan cruciaal zijn voor effectieve dienstverlening. In de relatie waar iemand gegevens onder jouw instructies verwerkt, ligt voor de hand dat de ander verwerker is en is een verwerkersovereenkomst nodig. In de praktijk kom je echter regelmatig een andere situatie tegen: je levert persoonsgegevens aan een andere organisatie die zélf bepaalt wat zij ermee doet. Je hebt dus geen gezag over die partij en je kunt haar niet “instrueren” zoals een verwerker. Tegelijk wil je wél grip houden op ‘jouw’ gegevens. Het gaat bijvoorbeeld om jouw medewerkers, jouw klanten of de burgers die je helpt. In die gevallen wil je dat de verstrekte gegevens uitsluitend worden gebruikt voor het doel waarvoor je ze verstrekt hebt, of je wilt voorkomen dat er geschillen ontstaan over verantwoordelijkheid, kwaliteit of beveiliging. Je kunt dan hierover gerichte afspraken maken in een gegevensleveringsovereenkomst.
Ik sta allereerst stil bij de verschillende verhoudingen tussen partijen die persoonsgegevens delen, maar zal verder dieper ingaan op de verhouding tussen verwerkingsverantwoordelijken die gegevens met elkaar delen. Tevens licht ik het begrip (zelfstandig) verwerkingsverantwoordelijke toe en geef ik voorbeelden van situaties waarbij gegevens worden gedeeld in deze verhouding. Verder bespreek ik onder welke voorwaarden in de AVG het delen van persoonsgegevens is toegestaan. Daarnaast sta ik stil bij de gevallen waarin een gegevensleveringsovereenkomst relevant is bij gegevensdeling tussen verwerkingsverantwoordelijken en welke onderwerpen je daarin regelt. Tot slot sluit ik af met een praktisch lijstje do’s en don’ts.
Welke verhoudingen zijn er allemaal?
Kort gezegd, vindt het delen van persoonsgegevens in verschillende verhoudingen plaats, onder andere:
1) tussen een verwerker en een of meer verwerkingsverantwoordelijken;
2) tussen zelfstandig verwerkingsverantwoordelijken;
3) tussen gezamenlijke verwerkingsverantwoordelijken.
Wanneer een verwerkingsverantwoordelijke en een verwerker persoonsgegevens met elkaar delen (of een verwerker en een sub-verwerker) is een overeenkomst of andere rechtshandeling met duidelijke afspraken verplicht1. In het geval van gezamenlijke verwerkingsverantwoordelijken spreekt artikel 26 AVG van een ‘regeling’. In de praktijk is het ook met betrekking tot artikel 26 AVG een overeenkomst, tenzij publiekrechtelijk geregeld zoals in de WGS. Enfin, de AVG schrijft voor welke onderwerpen je in ieder geval moet opnemen in zo’n overeenkomst.
Wat betreft gegevensdeling in de relatie tussen twee verwerkingsverantwoordelijken – die niet gezamenlijke verwerkingsverantwoordelijken zijn – is een overeenkomst met afspraken niet wettelijk verplicht. Toch kunnen afspraken in deze verhouding bijdragen aan een veilige en rechtmatige gegevensdeling. Dit kan in een vorm van een gegevensleveringsovereenkomst.
‘Zelfstandig’ verwerkingsverantwoordelijke
Wat een ‘zelfstandig verwerkingsverantwoordelijke’ precies is, vind je niet expliciet terug in de AVG. In artikel 4, lid 7, AVG staat dat een verwerkingsverantwoordelijke zowel ‘alleen als samen met anderen’ het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Dit betekent dat een verwerkingsverantwoordelijke bepaalt waarom en hoe persoonsgegevens worden verwerkt2. Bij gegevensdeling tussen twee zelfstandig verwerkingsverantwoordelijken bepalen partijen ieder afzonderlijk hun eigen doeleinden. In de verhouding tussen zelfstandige verwerkingsverantwoordelijken hebben partijen een gelijkwaardige status en blijven zij ieder verantwoordelijk voor de naleving van de AVG.
Organisaties delen regelmatig persoonsgegevens met andere verwerkingsverantwoordelijken. Dit gebeurt bijvoorbeeld in de volgende situaties:
• het doorgeven van gegevens van werknemers aan een pensioenfonds of verzekeraar;
• het doorgeven van gegevens van werknemers aan een trainingsbureau voor een opleiding;
• het doorgeven van gegevens van klanten aan een overkoepelende brancheorganisatie ter bevordering van kennisuitwisseling, en
• het doorgeven van behandel- en declaratiegegevens van een zorginstelling aan een zorgverzekeraar.
Toets of gegevensdeling is toegestaan
Gegevensdeling is in de zin van artikel 4, lid 2, AVG een verwerking3. Indien je als verwerkingsverantwoordelijke verzamelde gegevens wil delen met een andere verwerkingsverantwoordelijke is dat mogelijk als die verwerking voldoet aan artikel 5 en 6 AVG. Dat geldt zowel voor de verstrekking als voor ontvangst van de gegevens.
In het geval de persoonsgegevens in eerste instantie niet mede zijn verzameld met het doel om de gegevens te verstrekken door middel van doorzending, dan is de gegevensdeling in beginsel niet toegestaan, met uitzondering van verwerkingen voor ‘archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’4. Verdere uitzonderingen zijn te vinden in artikel 23, lid 1, AVG5. Desalniettemin, artikel 6, lid 4, AVG biedt ruimte om in sommige gevallen persoonsgegevens toch verder te verwerken voor een ander doel als wordt voldaan aan de verenigbaarheidstoets. Overigens heeft de zelfstandig verwerkingsverantwoordelijke die de gegevens ontvangt ook een rechtsgrondslag nodig zoals bedoeld in artikel 6, lid 1, AVG. Denk bijvoorbeeld aan een gerechtvaardigd belang of de uitvoering van een overeenkomst met de betrokkene.
Indien je als verwerkingsverantwoordelijke gegevens wil delen met een andere partij moet allereerst worden bekeken of de verwerking voor een ander doel, verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Daarnaast moet de verwerking noodzakelijk zijn, wat onder andere betekent dat het doel (het delen van gegevens) niet met minder ingrijpende middelen bereikt kan worden.
Of een verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet bepaald worden aan de hand van een afweging van de criteria genoemd in artikel 6, lid 4, AVG. Het Hof van Justitie van de Europese Unie (HvJ EU) herhaalt in de zaak Digi (C-77/21) deze criteria. Rekening moet worden gehouden met6:
a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking,
b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft,
c) de aard van de persoonsgegevens,
d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en
e) het bestaan van passende waarborgen, zowel bij de aanvankelijke verwerking als bij de beoogde verdere verwerking.
De afweging vindt plaats tussen enerzijds de behoefte aan voorspelbaarheid en rechtszekerheid met de betrekking tot de doeleinden en anderzijds een zekere mate van flexibiliteit voor de verwerkingsverantwoordelijke7. Hierbij merk ik op dat de beoordeling, of verdere verwerking is toegestaan, een zeer casuïstische afweging betreft. Dit betekent dat per geval de relevante omstandigheden moeten worden meegewogen, met inachtneming van de vereisten die voorvloeien uit het evenredigheidsbeginsel en het beginsel van minimale gegevensverwerking8.
Verder moet de verwerkingsverantwoordelijke bij gegevensdeling rekening houden met de overige beginselen in artikel 5 AVG, waaronder:
• transparantie: betrokkenen moeten geïnformeerd worden over de gegevensdeling;
• juistheid: de kwaliteit van de gegevens moet worden beschermd, en
• beveiliging: de gegevensdeling moet passend worden beveiligd.
De gegevensleveringsovereenkomst
Wanneer de verenigbaarheidstoets met goed gevolg is doorlopen, kan daadwerkelijk tot gegevensdeling worden overgegaan. In deze fase bepaal je in welke vorm je de gegevens het beste kan delen. In het geval van reguliere gegevensdeling met een andere verwerkingsverantwoordelijke kan een gegevensleveringsovereenkomst een praktisch hulpmiddel zijn om de gegevenshuishouding beheersbaar te houden9. In een gegevensleveringsovereenkomst kan je heldere afspraken maken over onder andere de levering en het gebruik van de gegevens, maar kan je ook onderlinge verantwoordelijkheden en aansprakelijkheid regelen. Dit heeft bijvoorbeeld als gevolg dat zowel de verstrekker als de ontvanger, welke beide verwerkingsverantwoordelijke zijn, duidelijkheid hebben over de kwaliteit van de te leveren gegevens10. Bovendien kan bij reguliere gegevensdelingen een standaard gegevensleveringsovereenkomst uitkomst bieden. Het helpt om tijd en kosten te besparen, omdat niet telkens opnieuw over de voorwaarden hoeft te worden onderhandeld. Zodra de afspraken eenmaal zijn vastgelegd tussen partijen, kan de gegevensleveringsovereenkomst eenvoudig worden gebruikt bij iedere nieuwe gegevenslevering. Je kan zelf bepalen wat je opneemt in de overeenkomst. Hieronder komt een aantal onderwerpen aan bod dat in een gegevensleveringsovereenkomst opgenomen kan worden ter overweging.
Allereerst kan je de rol van de partijen bij de gegevensdeling opnemen in de gegevensleveringsovereenkomst. Op deze manier bevestig je duidelijk dat beide partijen optreden als zelfstandig verwerkingsverantwoordelijke en daarmee ieders verantwoordelijkheden.
Ten tweede kan je het precieze doel van de gegevensdeling met de betreffende grondslag vastleggen in de overeenkomst. De ontvanger is op zijn beurt in beginsel vrij de gegevens verder te verwerken, mits dit binnen de wettelijke kaders valt. Voor een verstrekker van gegevens is er daardoor een risico dat de ontvanger de gegevens verwerkt voor een ander doel dan de verstrekker heeft voorzien. Om dit te voorkomen kan je als verstrekker een verbod in de gegevensleveringsovereenkomst opnemen. Op deze manier behoud je toch grip op de gegevens over ‘jouw’ klanten, medewerkers of burgers.
Bovendien kan je in de overeenkomst verschillende aspecten van de gegevenslevering opnemen, zoals een nadere beschrijving van de te leveren gegevens, de wijze van levering, de frequentie van levering, de kwaliteit van de gegevens en de kwaliteitswaarborgen ten aanzien van de gegevens.
Daarnaast kan je als verstrekker specifieke beveiligingsvereisten opnemen. Dit kan helpen om risico’s in verband met de betrokkenheid van derden (zoals verwerkers van de ontvanger) te beperken. Denk bijvoorbeeld aan versleuteling, anonimiseren of pseudonimiseren van gegevens. Daarnaast kunnen eisen gesteld worden aan de beveiliging bij de gegevenslevering. Denk hierbij aan authenticatievereisten, versleuteling of toegangsbeperking.
Verder kan het raadzaam zijn om in een gegevensleveringsovereenkomst een geheimhoudingseis op te nemen als voorwaarde bij de gegevensdeling. Dit zorgt ervoor dat de vertrouwelijkheid van (bijzondere) persoonsgegevens wordt gewaarborgd.
Tot slot kan een aansprakelijkheidsbepaling worden opgenomen in een gegevensleveringsovereenkomst, eventueel aangevuld met een boetebepaling als de ontvanger zich niet houdt aan de overeenkomst. Daarmee blijft de verstrekker bijvoorbeeld beter beschermd tegen claims of schade die ontstaan doordat de ontvanger zijn verplichtingen niet nakomt, maar ook als blijkt dat de verstrekking onverhoopt niet rechtmatig was.
Do’s en don’ts
In dit artikel is allereerst besproken dat er verschillende verhoudingen zijn waarin gegevens met elkaar gedeeld kunnen worden, één daarvan is de verhouding tussen twee zelfstandig verwerkingsverantwoordelijken. In deze verhouding kunnen persoonsgegevens gedeeld worden voor een ander doel dan het initiële doel waarvoor de gegevens verzameld waren. Do: voer een verenigbaarheidstoets uit voordat je gegevens verstrekt.
Verder is ingegaan op de gegevensleveringsovereenkomst die verwerkingsverantwoordelijken met elkaar kunnen aangaan om ook in deze verhouding afspraken te maken die bijdragen aan een veilige en rechtmatige gegevensdeling. Er is veel mogelijk om alsnog grip te houden op ‘jouw’ gegevens bij gegevensdeling met een andere verwerkingsverantwoordelijke. Do: overweeg om bepalingen op te nemen over onder andere de rol van partijen, het doel van de gegevensdeling, de feitelijke levering van gegevens, beveiligingsvereisten, aansprakelijkheid en boete. Don’t: een gegevensleveringsovereenkomst is niet verplicht, het kan in bepaalde gevallen als praktisch hulpmiddel fungeren om de gegevens van ‘jouw’ klanten, medewerkers of burgers te beschermen.
Wil je als organisatie hulp of advies bij het delen van persoonsgegevens, stuur ons dan gerust een bericht. De privacy professionals van Lex Digitalis denken graag met je mee.
========
voetnoten:
1 Art. 28 AVG.
2 EDPB, ‘Richtsnoeren 07/2020 over de begrippen “verwerkingsverantwoordelijke” en “verwerker” in de AVG, versie 2.0, 7 juli 2021, p. 3.
3 ‘verstrekken door middel van doorzending’ en ‘verspreiden of op andere wijze ter beschikking stellen’.
4 ‘Doelbinding’ o.g.v. artikel 5, lid 1, sub b, AVG.
5 Art. 23, lid 1, AVG vereist nationale uitvoeringswetgeving, zoals art. 41-43 UAVG en art. 23 Wwft.
6 HvJ EU, 20-10-2022, nr. C-77/21, r.o. 35.
7 HvJ EU, 20-10-2022, nr. C-77/2, r.o. 37.
8 HvJ EU, 02-03-2023, C-268/21, r.o. 59.
9 NORA, ‘Gegevensleveringsovereenkomst’. Geraadpleegd via https://www.noraonline.nl/wiki/Gegevensleveringsovereenkomst. Laatst gewijzigd op: 1 februari 2023.
10 NORA, ‘Gegevensleveringsovereenkomst’. Geraadpleegd via https://www.noraonline.nl/wiki/Gegevensleveringsovereenkomst. Laatst gewijzigd op: 1 februari 2023.
