Verstrekken van persoonsgegevens

Organisaties mogen niet zomaar persoonsgegevens verstrekken (doorgeven) aan andere organisaties of personen. De algemene regel is dat dit alleen mag als het verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit zo is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen. 

Op deze pagina

Verstrekking moet verenigbaar zijn met doel

Wilt u als organisatie persoonsgegevens verstrekken aan een andere organisatie? Dan verwerkt u de gegevens voor een ander doel dan waarvoor u de gegevens heeft verzameld (verstrekken is een vorm van verwerken).

Heeft u hiervoor geen toestemming gekregen van de betrokkene(n)? En staat ook niet ergens in een wettelijke bepaling dat u de gegevens moet verstrekken? Dan mag u de gegevens alleen verstrekken als het doel van de verstrekking verenigbaar is met het oorspronkelijke doel waarvoor u de gegevens heeft verzameld.

Bepalen of verstrekking verenigbaar is

Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:

  • Is er een verband met het doel waarvoor u de gegevens heeft verzameld?
  • Binnen welk kader heeft u de persoonsgegevens verzameld? Dat wil zeggen: wat is de verhouding tussen u en de betrokkene(n)?
  • Wat is de aard van de gegevens? Dat wil zeggen: hoe gevoelig zijn de gegevens? Gaat het bijvoorbeeld om bijzondere persoonsgegevens en/of strafrechtelijke persoonsgegevens?
  • Wat zijn de (mogelijke) gevolgen van een verstrekking?
  • Zijn er passende waarborgen, zoals versleuteling of pseudonimisering van de gegevens?
  • Wat zijn de verwachtingen van de betrokkene(n)?

Verstrekking is verenigbaar

Is de verstrekking van gegevens verenigbaar? Dan mag u de gegevens verstrekken. U doet dit op basis van dezelfde grondslag als de grondslag op basis waarvan u de gegevens heeft verzameld. U heeft dus geen nieuwe grondslag nodig voor de verstrekking van de gegevens.

Verstrekking is niet verenigbaar

Is de verstrekking van gegevens niet verenigbaar? Dan mag u de gegevens alleen verstrekken als u daarvoor een (nieuwe) grondslag uit de AVG heeft. De 6 grondslagen zijn:

  1. Toestemming van de betrokkene
  2. Uitvoeren van de overeenkomst
  3. Wettelijke verplichting
  4. Vitaal belang van de betrokkene
  5. Uitvoeren van publiekrechtelijke taak
  6. Gerechtvaardigd belang

Toestemming van de betrokkene

U mag iemands persoonsgegevens verstrekken als diegene daarvoor toestemming heeft gegeven. U moet de betrokkene(n) wel eerst goed informeren. Zodat duidelijk is waarvoor de toestemming is. En wat de gevolgen zijn van toestemming geven.

Uitvoeren van een overeenkomst

U mag iemands persoonsgegevens verstrekken aan een andere organisatie als dat nodig is om een overeenkomst met die persoon uit te voeren. Bijvoorbeeld: iemand heeft bij u als telecombedrijf een smartphone besteld. U mag dan de gegevens van deze persoon verstrekken aan een bezorgdienst.

Wettelijke verplichting

Soms moet u als organisatie bepaalde persoonsgegevens verstrekken om te voldoen aan een wettelijke verplichting. U kunt bijvoorbeeld op grond van artikel 47 van de Algemene wet inzake rijksbelastingen verplicht zijn om gegevens aan de Belastingdienst te verstrekken.

Vitaal belang van de betrokkene

U mag persoonsgegevens verstrekken bij een vitaal belang van de betrokkene. Bijvoorbeeld een dringende medische noodzaak. Het is dan wel beter om toestemming te vragen aan de betrokkene. Alleen als dat niet meer mogelijk is, mag u zonder toestemming persoonsgegevens verstrekken. Bijvoorbeeld omdat de betrokkene buiten bewustzijn is.

Uitvoeren van een publiekrechtelijke taak

Als overheidsorganisatie mag u persoonsgegevens verstrekken als dat noodzakelijk is om uw publiekrechtelijke taak goed te kunnen uitvoeren. Het kan hierbij gaan om een taak van uzelf of van de overheidsorganisatie die de gegevens ontvangt.

Het Openbaar Ministerie (OM) kan bijvoorbeeld informatie over een strafbaar feit verstrekken aan verzekeraars. Zo kan de schade op de dader worden verhaald. Deze verstrekking vloeit voort uit de taak van het OM, die onder meer is om voor de belangen van slachtoffers op te komen.

Gerechtvaardigd belang

Als bedrijf mag u gegevens verstrekken als dat noodzakelijk is om uw gerechtvaardigd belang te behartigen. U moet zich wel afvragen of u hetzelfde resultaat kunt bereiken met anonieme gegevens, met minder gegevens of via een minder ingrijpende weg. Ook moet u een privacytoets uitvoeren. Dit betekent dat u uw belang om de gegevens te verstrekken moet afwegen tegen het privacybelang van de betrokkene(n).