Vergunning aanvragen
Organisaties die strafrechtelijke gegevens willen verwerken en delen met anderen, moeten vaak eerst een vergunning aanvragen bij de Autoriteit Persoonsgegevens (AP). Bijvoorbeeld als zij een zwarte lijst willen gebruiken en delen waarop strafrechtelijke gegevens staan.
Op deze pagina
Regels verwerking strafrechtelijke gegevens
Volgens de Algemene verordening gegevensbescherming (AVG) mag het verwerken van strafrechtelijke persoonsgegevens over het algemeen niet. Het mag alleen:
- onder toezicht van de overheid;
- als de verwerking is toegestaan op grond van Unierechtelijke bepalingen of nationale bepalingen, zoals de Uitvoeringswet AVG (UAVG).
Wanneer vergunning aanvragen
U moet als organisatie een vergunning bij de AP aanvragen wanneer u strafrechtelijke persoonsgegevens wilt verwerken en deze wilt delen met anderen. Tenzij u een beroep kunt doen op een van de uitzonderingen uit de UAVG.
Uitzonderingen op de verplichting om een vergunning aan te vragen gelden bijvoorbeeld voor:
- overheidsorganisaties;
- organisaties met een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
- organisaties die op grond van de wet het strafrecht toepassen;
- organisaties die strafrechtelijke gegevens hebben gekregen op grond van de Wet politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg);
- organisaties die de gegevens alleen intern gebruiken voor doelen zoals benoemd in de UAVG.
Een volledig overzicht van de uitzonderingen op de vergunningplicht vindt u in artikel 10 van de AVG en artikel 32 en 33 van de UAVG.
Zelf beoordelen
U moet zelf beoordelen of u een vergunning moet aanvragen. Uw conclusie kan zijn dat u geen vergunning nodig heeft, maar let op:
- ook dan heeft u nog steeds een uitzonderingsgrond nodig om strafrechtelijke gegevens te mogen verwerken;
- u moet mogelijk een data protection impact assessment (DPIA) uitvoeren en vervolgens mogelijk een voorafgaande raadpleging aanvragen bij de AP.
Aanvragen vergunning bij de AP
Voordat u een aanvraag voor een vergunning kunt doen bij de AP, moet u eerst:
- Een DPIA uitvoeren: volgens de AVG is een DPIA verplicht bij grootschalige verwerking van strafrechtelijke persoonsgegevens. Ook staat het bijhouden en delen van zwarte lijsten op de lijst van de AP met verwerkingen waarvoor een DPIA verplicht is.
- Een protocol opstellen: in het protocol omschrijft u hoe u de strafrechtelijke persoonsgegevens gaat verwerken en hoe deze voorgenomen gegevensverwerking voldoet aan de eisen uit de AVG.
Hoe u vervolgens een vergunning aanvraagt bij de AP, hangt af van de uitkomst van uw DPIA:
Uitkomst: beperkt risico
Blijkt uit uw DPIA dat er géén hoog privacyrisico resteert voor de betrokkenen? Of dat u met maatregelen het risico kunt beperken? Dan kunt u een vergunning aanvragen via het:
Aanvraagformulier vergunning zonder voorafgaande raadpleging
Uitkomst: hoog risico
Komt uit uw DPIA naar voren dat de voorgenomen verwerking een hoog privacyrisico oplevert voor de betrokkenen? En lukt het u niet om (voldoende) maatregelen te vinden om dit risico te beperken? Dan moet u eerst met de AP overleggen voordat u met de verwerking start. Dit heet een voorafgaande raadpleging.
U vraagt een voorafgaande raadpleging aan via het:
Aanvraagformulier voorafgaande raadpleging voor vergunning
Is de uitkomst van de voorafgaande raadpleging dat de AP geen bezwaren heeft tegen de verwerking? Dan kunt u vervolgens een vergunning aanvragen via het:
Aanvraagformulier vergunning na voorafgaande raadpleging
Privacyverklaring
Als u een vergunning aanvraagt, verwerkt de AP persoonsgegevens van u. Hoe de AP omgaat met uw gegevens, leest u in de privacyverklaring van de AP.
Let op: U mag pas beginnen met de verwerking van de strafrechtelijke persoonsgegevens als u een vergunning heeft gekregen van de AP.
Beoordeling aanvraag vergunning
De AP toetst of uw voorgenomen verwerking voldoet aan de eisen uit de AVG en de UAVG. De AP kan alleen een vergunning afgeven als u minimaal aan de volgende 3 voorwaarden voldoet:
1. Noodzakelijkheid
De verwerking van de strafrechtelijke persoonsgegevens moet noodzakelijk zijn. Dit betekent onder meer dat u uw doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de privacy van de betrokkenen.
2. Zwaarwegend belang
De verwerking van de strafrechtelijke persoonsgegevens moet noodzakelijk zijn voor het zwaarwegende belang van derden.
3. Waarborgen
U treft zodanig waarborgen dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad door uw verwerking.
Deze waarborgen moeten voldoende invulling geven aan de beginselen uit artikel 5 AVG:
- rechtmatigheid (daaronder valt ook het hebben van een geldige grondslag in de zin van artikel 6 AVG), behoorlijkheid en transparantie;
- doelbinding;
- dataminimalisatie;
- juistheid;
- opslagbeperking;
- vertrouwelijkheid en integriteit;
- verantwoordingsplicht.
U moet de waarborgen opnemen in het protocol. Zorg ervoor dat het protocol voldoende duidelijk, concreet en gedetailleerd is. Uit het protocol moet duidelijk en precies blijken hoe de gegevensverwerking er feitelijk uitziet en welke waarborgen gelden. Houd voor ogen dat het protocol ook leesbaar en eenvoudig te begrijpen moet zijn voor de betrokkenen.
Modelprotocol
Voor sommige verwerkingen heeft de AP al een modelprotocol goedgekeurd. Dit geldt voor een aantal zwarte lijsten:
- Collectief winkelverbod;
- Collectieve horecaontzegging;
- Protocol Incidentenwaarschuwingssysteem Financiële Instellingen (PIFI).
Wilt u voor zo’n verwerking een vergunning aanvragen, dan kunt u aansluiten bij het modelprotocol. Voor meer informatie kunt u terecht bij uw branchevereniging of de AP.
Voorschriften vergunning
De AP kan voorschriften verbinden aan de vergunning. Bijvoorbeeld dat de vergunning 5 jaar geldig is. En dat u het eerst voorlegt aan de AP als u iets in het protocol wilt wijzigen.
Algemene wet bestuursrecht
De AP behandelt uw aanvraag voor een vergunning conform de Algemene wet bestuursrecht en de daarin opgenomen termijnen.
De AP heeft 8 weken de tijd om een besluit te nemen over uw vergunningaanvraag. Is deze termijn te kort om uw aanvraag te kunnen behandelen? Dan stelt de AP een nieuwe, redelijke beslistermijn vast. Hoe lang die is, kan per geval verschillen.
Verleent de AP u de vergunning? Dan publiceert de AP het besluit en het door u opgestelde protocol op de website van de AP, tenzij er een uitzondering geldt op de Wet open overheid (Woo).
Register vergunningen
In het Register vergunningen staan alle vergunningen die de AP heeft verleend. En ook de aanvragen voor een vergunning die de AP heeft afgewezen.
Bekijk ook
Register vergunningen
Bekijk het Register vergunningen voor alle vergunningen die de AP heeft afgegeven. U vindt hier ook de afgewezen vergunningaanvragen.
Meer informatie
Snelle antwoorden
Moet ik voor een zwarte lijst altijd een vergunning aanvragen?
Nee. U heeft geen vergunning nodig wanneer u de zwarte lijst alleen intern gebruikt. En ook niet als u de zwarte lijst wel deelt, maar er geen strafrechtelijke persoonsgegevens op staan.
Moet ik als particulier recherchebureau een vergunning aanvragen?
U hoeft geen vergunning aan te vragen bij de Autoriteit Persoonsgegevens voor het delen van strafrechtelijke gegevens. Wel moet u een vergunning hebben op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus (Wpbr). Die vraagt u aan bij Justis.
Zie verder: Particuliere recherche.
Moet ik een vergunning aanvragen voor het delen van strafrechtelijke gegevens van personeel binnen mijn concern?
Nee, maar alleen als u voldoet aan deze 2 voorwaarden:
- U mag alleen strafrechtelijke gegevens delen over personeel dat binnen uw concern in dienst is.
- U moet de ondernemingsraad om instemming hebben gevraagd voordat u de strafrechtelijke gegevens gaat delen. Dit volgt uit artikel 27, lid 1, onder k van de Wet op de ondernemingsraden.
Is een vergunning verplicht voor het delen van strafrechtelijke gegevens tussen overheidsorganisaties?
Er is geen vergunning nodig als er sprake is van een publiekrechtelijk samenwerkingsverband. In artikel 33, lid 1 , onder b van de UAVG staat dit soort samenwerkingsverbanden afzonderlijk als uitzondering genoemd.
Wel gelden deze 2 voorwaarden:
- De verwerking is noodzakelijk voor deze overheidsorganisaties om hun taak uit te voeren.
- De overheidsorganisaties treffen zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkenen niet onevenredig wordt geschaad.