Vergroot contrast

Aandachtspunten bestrijding ondermijnende criminaliteit

Gaat u als organisatie persoonsgegevens verwerken om ondermijnende criminaliteit te bestrijden? Bijvoorbeeld door gegevens uit te wisselen met andere organisaties? Dan is er een aantal punten in de Algemene verordening gegevensbescherming (AVG) waarmee u in het bijzonder rekening moet houden. Welke aandachtspunten dit zijn, leest u op deze pagina.

Grondslag voor de verwerking

U moet allereerst goed nagaan of u een geldige grondslag heeft om gegevens te verwerken voor de bestrijding van ondermijnende criminaliteit. Dit moet een van de 6 grondslagen uit artikel 6 van de AVG zijn.

Bent u een overheidsorganisatie? Dan kunt u de verwerking mogelijk baseren op de grondslag noodzakelijk om een taak van algemeen belang uit te voeren of openbaar gezag uit te oefenen. Mits u een publieke taak uitvoert die op een wet is gebaseerd.

Let op: deze wettelijke taak moet duidelijk en nauwkeurig genoeg zijn omschreven om als grondslag te kunnen dienen voor het verwerken van persoonsgegevens om ondermijnende criminaliteit te bestrijden.

Data protection impact assessment (DPIA)

Er is een grote kans dat u een data protection impact assessment (DPIA) moet uitvoeren. Dit moet u doen vóór u start met uw gegevensverwerking. 

Een DPIA is vereist voor gegevensverwerkingen die waarschijnlijk een hoog privacyrisico opleveren voor de betrokkenen (de mensen van wie u persoonsgegevens verwerkt). 

Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd.

Een goed uitgevoerde DPIA:

 • bevat een systematische beschrijving van de beoogde gegevensverwerking;
 • geeft inzicht in de privacyrisico’s die deze verwerking oplevert voor de betrokkenen;
 • geeft inzicht in de maatregelen die u moet nemen om deze risico’s te verkleinen.

Voorafgaande raadpleging

Komt uit uw DPIA naar voren dat de beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start.

Dit heet een voorafgaande raadpleging. Hierbij geeft de AP advies over hoe u de privacyrisico’s kunt beperken. De AP kan ook adviseren om helemaal van de verwerking af te zien.

Bijzondere en strafrechtelijke persoonsgegevens

Wilt u bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens verwerken? Dan moet u extra voorzichtig zijn. U mag dit soort persoonsgegevens niet verwerken, tenzij er een wettelijke uitzondering van toepassing is in uw situatie.

Let op: bent u een private partij en wilt u strafrechtelijke gegevens delen met anderen? Dan heeft u daarvoor mogelijk een vergunning van de AP nodig.

Dataminimalisatie

Een belangrijk beginsel uit de AVG is dataminimalisatie. Dit betekent dat u goed voor ogen moet houden dat u alleen persoonsgegevens mag verzamelen, delen of anderszins verwerken als dat strikt noodzakelijk is om ondermijnende criminaliteit te bestrijden.

Bij deze afweging moet u het belang van de betrokkene(n) telkens zorgvuldig meewegen.

Doelbinding

Heeft u al persoonsgegevens in uw bezit, omdat u die heeft verzameld voor een ander doel? Dan mag u die niet zomaar gebruiken voor het bestrijden van ondermijnende criminaliteit. Dit is het AVG-beginsel van doelbinding .

In artikel 6, lid 4 en overweging 50 van de AVG staat dat u in 3 gevallen persoonsgegevens mag gebruiken voor een ander doel dan waarvoor u deze heeft verzameld:

 • Als de betrokkene daarvoor toestemming geeft. Bij het bestrijden van ondermijnende criminaliteit zal dit echter in de meeste gevallen geen optie zijn. 
 • Als dit gebruik berust op een unierechtelijke of lidstaatrechtelijke bepaling die een noodzakelijke en evenredige maatregel vormt om de in artikel 23, lid 1 van de AVG genoemde belangen te waarborgen. Die belangen zijn onder meer de nationale en openbare veiligheid en het onderzoek naar strafbare feiten. 
 • Als dit gebruik verenigbaar is met het doel waarvoor u de gegevens aanvankelijk heeft verzameld. 

U moet zelf nagaan of een van deze 3 gevallen voor u van toepassing is. Is dat niet zo, dan mag u de persoonsgegevens die u al heeft niet gebruiken om ondermijnende criminaliteit te bestrijden. 

Het is lastig om concreet aan te geven wanneer u persoonsgegevens die u voor een ander doel heeft verzameld wel of niet mag gebruiken voor de bestrijding van ondermijnende criminaliteit. Dit hangt sterk af van de precieze kenmerken en context van de verwerking van persoonsgegevens die u wilt uitvoeren.

Het is in ieder geval belangrijk dat u voorzichtig bent en dat u goed uitzoekt en onderbouwt waarom u denkt dat u de gegevens mag gebruiken.

Duidelijke afspraken en waarborgen

Wilt u met een of meer organisaties samenwerken om ondermijnende criminaliteit te bestrijden? Dan moet u duidelijke afspraken maken over:

 • Wie waarvoor verantwoordelijk is. Zeker als u bijvoorbeeld een gezamenlijke registratie gaat gebruiken. 
 • Bij wie de betrokkenen terecht kunnen om hun privacyrechten  uit te oefenen. Dit kan onduidelijk zijn bij samenwerking en gegevensdeling tussen verschillende partijen. Het is aan u en de andere samenwerkende partij(en) om inzichtelijk te maken wie welke persoonsgegevens verwerkt en om de betrokkenen daarover duidelijk te informeren.   
 • Hoe u de persoonsgegevens goed gaat beveiligen.

Daarnaast moet u waarborgen afspreken die de negatieve impact op betrokkenen zo veel mogelijk beperken, zoals:

 • duidelijke afspraken over welke gegevens u wanneer en aan wie mag verstrekken; 
 • zo transparant mogelijk zijn naar de betrokkenen over de verwerkingen die plaatsvinden; 
 • direct vernietigen van onjuiste gegevens en gegevens die niet langer strikt noodzakelijk zijn.

Deze en andere waarborgen moeten u en de andere partij(en) duidelijk vastleggen voordat u start met het delen van gegevens. 

Externe partij

Maakt u gebruik van een externe partij om de juridische mogelijkheden te onderzoeken? Of voor het inrichten van een systeem waarmee gegevens kunnen worden verwerkt of gedeeld?

Let dan op dat u zelf als verwerkingsverantwoordelijke verantwoordelijk bent en blijft voor de gegevensverwerking. Zorg ervoor dat u zeker weet dat de verwerking rechtmatig is voordat u met de verwerking start. En evalueer dit regelmatig. 

Algoritmes

Let op: gebruikt u algoritmes? Dit kan extra risico’s voor betrokkenen opleveren. U moet vooraf vaststellen of u met het gebruik van algoritmes aan de AVG-beginselen kunt voldoen.

Daarbij moet u de risico’s van het gebruik van algoritmes in kaart brengen in uw DPIA en waar nodig maatregelen treffen om de betrokkene(n) tegen deze risico’s te beschermen.