Aandachtspunten bestrijding ondermijnende criminaliteit

Grondslag voor de verwerking

U moet eerst nagaan of u een geldige grondslag heeft om gegevens te verwerken voor de bestrijding van ondermijnende criminaliteit. Dit moet een van de 6 grondslagen uit artikel 6 van de AVG zijn.

Bent u een overheidsorganisatie? Dan kunt u de verwerking mogelijk baseren op de grondslag algemeen belang of openbaar gezag. Dit kan alleen als u een publieke taak uitvoert die op een wet is gebaseerd.

Deze wettelijke taak moet duidelijk en nauwkeurig genoeg zijn omschreven om als grondslag te kunnen dienen voor het verwerken van persoonsgegevens om ondermijnende criminaliteit te bestrijden.

Data protection impact assessment (DPIA)

Er is een grote kans dat u een data protection impact assessment (DPIA) moet uitvoeren. Dit moet u doen voor u start met uw gegevensverwerking. Een DPIA is vereist voor gegevensverwerkingen die waarschijnlijk een hoog privacyrisico opleveren voor de betrokkenen.

Een DPIA heet ook wel een gegevensbeschermingseffectbeoordeling (GEB). Een goed uitgevoerde DPIA:

• bevat een systematische beschrijving van de beoogde gegevensverwerking;
• geeft inzicht in de privacyrisico’s die deze verwerking oplevert voor de betrokkenen;
• geeft inzicht in de maatregelen die u moet nemen om deze risico’s te verkleinen.

Let op: Gebruikt u algoritmes? Dit kan extra risico’s voor betrokkenen opleveren. U moet vooraf vaststellen of u met het gebruik van algoritmes aan de AVG-beginselen kunt voldoen. Daarbij moet u de risico’s van het gebruik van algoritmes in kaart brengen in uw DPIA en waar nodig maatregelen treffen om de betrokkene(n) tegen deze risico’s te beschermen.

Voorafgaande raadpleging

Komt uit uw DPIA naar voren dat de beoogde verwerking een hoog risico oplevert? En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de Autoriteit Persoonsgegevens (AP) overleggen voordat u met de verwerking start.

Dit heet een voorafgaande raadpleging. Hierbij geeft de AP advies over hoe u de privacyrisico’s kunt beperken. De AP kan u ook adviseren om helemaal van de verwerking af te zien.

Bijzondere en strafrechtelijke persoonsgegevens

Wilt u bijzondere persoonsgegevens of strafrechtelijke persoonsgegevens verwerken? Dan moet u extra voorzichtig zijn. U mag dit soort persoonsgegevens niet verwerken, tenzij er een wettelijke uitzondering van toepassing is in uw situatie.

Let op: Bent u een private partij en wilt u strafrechtelijke gegevens delen met anderen? Dan heeft u daarvoor mogelijk een vergunning van de AP nodig.

Dataminimalisatie

Een belangrijk beginsel uit de AVG is dataminimalisatie. Dit betekent dat u goed voor ogen moet houden dat u alleen persoonsgegevens mag verzamelen, delen of anderszins verwerken als dat strikt noodzakelijk is om ondermijnende criminaliteit te bestrijden. Bij deze afweging moet u het belang van de betrokkene(n) telkens zorgvuldig meewegen.

Doelbinding

Heeft u al persoonsgegevens in uw bezit, omdat u die heeft verzameld voor een ander doel? Dan mag u die niet zomaar gebruiken voor het bestrijden van ondermijnende criminaliteit. Dit is het AVG-beginsel van doelbinding.

In artikel 6, lid 4 en overweging 50 van de AVG staat dat u in 3 gevallen persoonsgegevens mag gebruiken voor een ander doel dan waarvoor u deze heeft verzameld:

1. Als de betrokkene daarvoor toestemming geeft. Bij het bestrijden van ondermijnende criminaliteit zal dit meestal geen optie zijn.
2. Als dit noodzakelijk is voor het beschermen van bijvoorbeeld de nationale en openbare veiligheid of het onderzoek naar strafbare feiten (artikel 23, lid 1 van de AVG).
3. Als dit gebruik verenigbaar is met het doel waarvoor u de gegevens oorspronkelijk heeft verzameld.

U moet zelf nagaan of een van deze 3 gevallen voor u van toepassing is. Is dat niet zo, dan mag u de persoonsgegevens die u al heeft niet gebruiken om ondermijnende criminaliteit te bestrijden.

Het is lastig om concreet aan te geven wanneer u persoonsgegevens die u voor een ander doel heeft verzameld wel of niet mag gebruiken voor de bestrijding van ondermijnende criminaliteit. Dit hangt sterk af van de precieze kenmerken en context van de verwerking van persoonsgegevens die u wilt uitvoeren.

Het is in ieder geval belangrijk dat u voorzichtig bent en dat u goed uitzoekt en onderbouwt waarom u denkt dat u de gegevens mag gebruiken.

Duidelijke afspraken en waarborgen

Wilt u met een of meer organisaties samenwerken om ondermijnende criminaliteit te bestrijden? Dan moet u met deze organisaties duidelijke afspraken maken over:

• Wie waarvoor verantwoordelijk is. Zeker als u bijvoorbeeld een gezamenlijke registratie gaat gebruiken.
• Bij wie de betrokkenen terecht kunnen om hun privacyrechten uit te oefenen. Dit kan onduidelijk zijn bij samenwerking en het delen van gegevens door verschillende partijen. Het is aan u en de andere samenwerkende partij(en) om inzichtelijk te maken wie welke persoonsgegevens verwerkt en om de betrokkenen daarover duidelijk te informeren.  
• Hoe u de persoonsgegevens goed gaat beveiligen.

Daarnaast moet u garanties afspreken die de negatieve impact op betrokkenen zo veel mogelijk beperken, zoals:

• duidelijke afspraken over welke gegevens u wanneer en aan wie mag verstrekken;
• zo transparant mogelijk zijn naar de betrokkenen over de verwerkingen die plaatsvinden;
• direct vernietigen van onjuiste gegevens en gegevens die niet langer strikt noodzakelijk zijn.

Deze en andere garanties moeten u en de andere partij(en) duidelijk vastleggen voordat u start met het delen van gegevens.

Inhuur externe partij

Maakt u gebruik van een externe partij om de juridische mogelijkheden te onderzoeken? Of voor het inrichten van een systeem waarmee gegevens kunnen worden verwerkt of gedeeld? Let dan op dat u zelf als verwerkingsverantwoordelijke verantwoordelijk bent en blijft voor de gegevensverwerking. Zorg ervoor dat u zeker weet dat de verwerking rechtmatig is voordat u met de verwerking start. En evalueer dit regelmatig.