Welke gegevens mag je niet delen?
Het delen van gegevens is een dagelijkse realiteit voor overheidsorganisaties, maar niet alle informatie mag zomaar worden gedeeld. Met de invoering van de AVG en specifieke wetgeving, zoals de Wet politiegegevens (Wpg), zijn de regels strenger geworden. Voor compliance officers is het cruciaal om te weten welke gegevens beschermd zijn en wanneer delen wel of niet is toegestaan.
Deze kennis voorkomt niet alleen boetes en reputatieschade, maar zorgt ook voor een betrouwbare informatiehuishouding binnen uw organisatie. In dit artikel beantwoorden we de belangrijkste vragen over gegevensdeling en geven we praktische richtlijnen voor een veilige omgang met persoonsgegevens.
Wat zijn persoonsgegevens en waarom mag je ze niet zomaar delen?
Persoonsgegevens zijn alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. Dit omvat niet alleen voor de hand liggende gegevens, zoals namen en adressen, maar ook IP-adressen, foto’s, locatiegegevens en zelfs unieke combinaties van gegevens die samen iemand identificeerbaar maken.
Het delen van persoonsgegevens is beperkt omdat de privacy van burgers wettelijk beschermd is. De AVG stelt dat persoonsgegevens alleen mogen worden verwerkt en gedeeld als er een rechtmatige grondslag is. Voor overheidsorganisaties betekent dit dat gegevensdeling alleen mag plaatsvinden voor de uitvoering van wettelijke taken of met expliciete toestemming van de betrokkene.
Daarnaast geldt het principe van doelbinding: gegevens die voor een specifiek doel zijn verzameld, mogen niet zomaar voor andere doeleinden worden gebruikt of gedeeld. Dit beschermt burgers tegen ongecontroleerde verspreiding van hun persoonlijke informatie en voorkomt misbruik door organisaties.
Welke gegevens vallen onder de strengste bescherming?
Bijzondere persoonsgegevens vallen onder de strengste bescherming en mogen alleen in uitzonderlijke gevallen worden gedeeld. Deze categorie omvat gegevens over ras, etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van vakbonden, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens over iemands seksueel gedrag.
Voor overheidsorganisaties zijn vooral gezondheidsgegevens en strafrechtelijke gegevens relevant. Gezondheidsgegevens komen voor bij GGD’en, zorginstellingen en sociale diensten. Deze mogen alleen worden gedeeld als dit noodzakelijk is voor de volksgezondheid, medische behandeling of sociale zekerheid, en altijd onder strikte voorwaarden.
Strafrechtelijke gegevens vallen onder de Wet politiegegevens (Wpg) en kennen nog strengere regels. Deze gegevens mogen alleen worden verwerkt door specifiek aangewezen medewerkers en in afzonderlijke systemen. Het delen van Wpg-gegevens is alleen toegestaan tussen geautoriseerde opsporingsambtenaren en boa’s, en dan nog alleen voor zover dat nodig is voor de uitvoering van hun taak.
Wanneer mag je wel persoonsgegevens delen met andere organisaties?
Persoonsgegevens mogen worden gedeeld wanneer er een geldige rechtmatige grondslag is volgens de AVG. Voor overheidsorganisaties zijn de belangrijkste grondslagen: de uitvoering van een wettelijke taak, de vervulling van een publiekrechtelijke taak in het algemeen belang, of wanneer dit noodzakelijk is voor de behartiging van gerechtvaardigde belangen.
Praktische situaties waarin delen is toegestaan, zijn onder andere:
- Uitwisseling tussen gemeentelijke afdelingen voor de uitvoering van sociale wetgeving
- Delen van gegevens met het UWV voor uitkeringscontrole
- Verstrekking aan toezichthouders, zoals de Inspectie Gezondheidszorg
- Samenwerking in het kader van veiligheid en handhaving
- Gegevensuitwisseling voor fraudepreventie tussen overheidsinstellingen
Belangrijk is dat er altijd een verwerkersovereenkomst of een overeenkomst voor gezamenlijke verwerkingsverantwoordelijkheid moet worden afgesloten wanneer gegevens structureel worden gedeeld. Deze overeenkomsten moeten duidelijk maken wie waarvoor verantwoordelijk is en welke beveiligingsmaatregelen gelden.
Hoe voorkom je onrechtmatige gegevensdeling binnen je organisatie?
Onrechtmatige gegevensdeling binnen organisaties voorkom je door heldere procedures, technische maatregelen en bewustwording bij medewerkers. Het begint met het opstellen van een gegevensregister waarin staat welke gegevens de organisatie verwerkt, voor welke doeleinden en met wie deze mogen worden gedeeld.
Technische maatregelen die helpen, zijn:
- Toegangscontrole op basis van functies en taken (need-to-knowprincipe)
- Logging van alle gegevenstoegang en -uitwisseling
- Versleuteling van gevoelige gegevens
- Scheiding van verschillende typen gegevens in aparte systemen
- Automatische blokkering van ongeautoriseerde toegang
Organisatorische maatregelen omvatten het trainen van medewerkers over privacyregels, het aanstellen van een functionaris gegevensbescherming (FG) en het uitvoeren van regelmatige audits. Ook moet er een incidentenprocedure zijn voor het geval er toch onrechtmatig wordt gedeeld.
Voor organisaties die werken met DigiD-toepassingen gelden aanvullende beveiligingseisen die jaarlijks moeten worden getoetst om ongeautoriseerde toegang tot persoonsgegevens te voorkomen.
Wat zijn de gevolgen als je toch verkeerde gegevens deelt?
De gevolgen van onrechtmatige gegevensdeling kunnen aanzienlijk zijn en variëren van financiële boetes tot reputatieschade en juridische procedures. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen tot maximaal 4% van de jaaromzet of 20 miljoen euro, waarbij voor overheidsorganisaties vaak het hoogste bedrag geldt.
Naast financiële sancties kunnen er ook andere consequenties zijn. Betrokkenen kunnen schadevergoeding eisen voor geleden schade, zowel materieel als immaterieel. Dit kan leiden tot kostbare rechtszaken en claims. Ook kan de AP aanvullende maatregelen opleggen, zoals het tijdelijk verbieden van bepaalde gegevensverwerkingen.
Voor overheidsorganisaties is reputatieschade vaak het meest ingrijpend. Burgers verliezen vertrouwen in de organisatie, wat de uitvoering van publieke taken kan bemoeilijken. Ook kan er politieke druk ontstaan, met vragen in de gemeenteraad of Tweede Kamer. In extreme gevallen kan dit leiden tot het aftreden van bestuurders of het reorganiseren van afdelingen.
Daarom is het essentieel om preventief te handelen en regelmatig te controleren of de gegevensdeling binnen uw organisatie nog steeds rechtmatig plaatsvindt.
Hoe BKBO helpt met veilige gegevensdeling
Wij begrijpen de complexiteit van gegevensdeling binnen overheidsorganisaties en helpen u met praktische oplossingen die aansluiten bij uw dagelijkse werkprocessen. Onze ervaring met meer dan 1.843 afgeronde audits sinds 2018 stelt ons in staat om snel risico’s te identificeren en concrete verbeteringen voor te stellen.
Onze aanpak voor veilige gegevensdeling omvat:
- Grondige analyse van uw huidige gegevensverwerkingen en deelpraktijken
- Toetsing aan de AVG, de Wpg en andere relevante wetgeving
- Opstellen van heldere procedures voor rechtmatige gegevensdeling
- Training van medewerkers over privacyregels en veilige werkwijzen
- Implementatie van technische beveiligingsmaatregelen
- Periodieke audits om naleving te waarborgen
Met onze “geen gekibbel garantie” en vaste prijzen, inclusief eventuele heraudits, krijgt u transparantie en zekerheid. Ons klantretentiepercentage van 91,4% toont aan dat organisaties tevreden zijn met onze praktische, resultaatgerichte aanpak. Neem contact op om te bespreken hoe wij uw organisatie kunnen helpen met veilige en rechtmatige gegevensdeling.
Het delen van gegevens is een dagelijkse realiteit voor overheidsorganisaties, maar niet alle informatie mag zomaar worden gedeeld. Met de invoering van de AVG en specifieke wetgeving, zoals de Wet politiegegevens (Wpg), zijn de regels strenger geworden. Voor compliance officers is het cruciaal om te weten welke gegevens beschermd zijn en wanneer delen wel of niet is toegestaan.
Deze kennis voorkomt niet alleen boetes en reputatieschade, maar zorgt ook voor een betrouwbare informatiehuishouding binnen uw organisatie. In dit artikel beantwoorden we de belangrijkste vragen over gegevensdeling en geven we praktische richtlijnen voor een veilige omgang met persoonsgegevens.
Wat zijn persoonsgegevens en waarom mag je ze niet zomaar delen?
Persoonsgegevens zijn alle informatie die direct of indirect herleidbaar is tot een natuurlijk persoon. Dit omvat niet alleen voor de hand liggende gegevens, zoals namen en adressen, maar ook IP-adressen, foto’s, locatiegegevens en zelfs unieke combinaties van gegevens die samen iemand identificeerbaar maken.
Het delen van persoonsgegevens is beperkt omdat de privacy van burgers wettelijk beschermd is. De AVG stelt dat persoonsgegevens alleen mogen worden verwerkt en gedeeld als er een rechtmatige grondslag is. Voor overheidsorganisaties betekent dit dat gegevensdeling alleen mag plaatsvinden voor de uitvoering van wettelijke taken of met expliciete toestemming van de betrokkene.
Daarnaast geldt het principe van doelbinding: gegevens die voor een specifiek doel zijn verzameld, mogen niet zomaar voor andere doeleinden worden gebruikt of gedeeld. Dit beschermt burgers tegen ongecontroleerde verspreiding van hun persoonlijke informatie en voorkomt misbruik door organisaties.
Welke gegevens vallen onder de strengste bescherming?
Bijzondere persoonsgegevens vallen onder de strengste bescherming en mogen alleen in uitzonderlijke gevallen worden gedeeld. Deze categorie omvat gegevens over ras, etnische afkomst, politieke opvattingen, religieuze overtuigingen, lidmaatschap van vakbonden, genetische gegevens, biometrische gegevens, gezondheidsgegevens en gegevens over iemands seksueel gedrag.
Voor overheidsorganisaties zijn vooral gezondheidsgegevens en strafrechtelijke gegevens relevant. Gezondheidsgegevens komen voor bij GGD’en, zorginstellingen en sociale diensten. Deze mogen alleen worden gedeeld als dit noodzakelijk is voor de volksgezondheid, medische behandeling of sociale zekerheid, en altijd onder strikte voorwaarden.
Strafrechtelijke gegevens vallen onder de Wet politiegegevens (Wpg) en kennen nog strengere regels. Deze gegevens mogen alleen worden verwerkt door specifiek aangewezen medewerkers en in afzonderlijke systemen. Het delen van Wpg-gegevens is alleen toegestaan tussen geautoriseerde opsporingsambtenaren en boa’s, en dan nog alleen voor zover dat nodig is voor de uitvoering van hun taak.
Wanneer mag je wel persoonsgegevens delen met andere organisaties?
Persoonsgegevens mogen worden gedeeld wanneer er een geldige rechtmatige grondslag is volgens de AVG. Voor overheidsorganisaties zijn de belangrijkste grondslagen: de uitvoering van een wettelijke taak, de vervulling van een publiekrechtelijke taak in het algemeen belang, of wanneer dit noodzakelijk is voor de behartiging van gerechtvaardigde belangen.
Praktische situaties waarin delen is toegestaan, zijn onder andere:
- Uitwisseling tussen gemeentelijke afdelingen voor de uitvoering van sociale wetgeving
- Delen van gegevens met het UWV voor uitkeringscontrole
- Verstrekking aan toezichthouders, zoals de Inspectie Gezondheidszorg
- Samenwerking in het kader van veiligheid en handhaving
- Gegevensuitwisseling voor fraudepreventie tussen overheidsinstellingen
Belangrijk is dat er altijd een verwerkersovereenkomst of een overeenkomst voor gezamenlijke verwerkingsverantwoordelijkheid moet worden afgesloten wanneer gegevens structureel worden gedeeld. Deze overeenkomsten moeten duidelijk maken wie waarvoor verantwoordelijk is en welke beveiligingsmaatregelen gelden.
Hoe voorkom je onrechtmatige gegevensdeling binnen je organisatie?
Onrechtmatige gegevensdeling binnen organisaties voorkom je door heldere procedures, technische maatregelen en bewustwording bij medewerkers. Het begint met het opstellen van een gegevensregister waarin staat welke gegevens de organisatie verwerkt, voor welke doeleinden en met wie deze mogen worden gedeeld.
Technische maatregelen die helpen, zijn:
- Toegangscontrole op basis van functies en taken (need-to-knowprincipe)
- Logging van alle gegevenstoegang en -uitwisseling
- Versleuteling van gevoelige gegevens
- Scheiding van verschillende typen gegevens in aparte systemen
- Automatische blokkering van ongeautoriseerde toegang
Organisatorische maatregelen omvatten het trainen van medewerkers over privacyregels, het aanstellen van een functionaris gegevensbescherming (FG) en het uitvoeren van regelmatige audits. Ook moet er een incidentenprocedure zijn voor het geval er toch onrechtmatig wordt gedeeld.
Voor organisaties die werken met DigiD-toepassingen gelden aanvullende beveiligingseisen die jaarlijks moeten worden getoetst om ongeautoriseerde toegang tot persoonsgegevens te voorkomen.
Wat zijn de gevolgen als je toch verkeerde gegevens deelt?
De gevolgen van onrechtmatige gegevensdeling kunnen aanzienlijk zijn en variëren van financiële boetes tot reputatieschade en juridische procedures. De Autoriteit Persoonsgegevens (AP) kan boetes opleggen tot maximaal 4% van de jaaromzet of 20 miljoen euro, waarbij voor overheidsorganisaties vaak het hoogste bedrag geldt.
Naast financiële sancties kunnen er ook andere consequenties zijn. Betrokkenen kunnen schadevergoeding eisen voor geleden schade, zowel materieel als immaterieel. Dit kan leiden tot kostbare rechtszaken en claims. Ook kan de AP aanvullende maatregelen opleggen, zoals het tijdelijk verbieden van bepaalde gegevensverwerkingen.
Voor overheidsorganisaties is reputatieschade vaak het meest ingrijpend. Burgers verliezen vertrouwen in de organisatie, wat de uitvoering van publieke taken kan bemoeilijken. Ook kan er politieke druk ontstaan, met vragen in de gemeenteraad of Tweede Kamer. In extreme gevallen kan dit leiden tot het aftreden van bestuurders of het reorganiseren van afdelingen.
Daarom is het essentieel om preventief te handelen en regelmatig te controleren of de gegevensdeling binnen uw organisatie nog steeds rechtmatig plaatsvindt.
Hoe BKBO helpt met veilige gegevensdeling
Wij begrijpen de complexiteit van gegevensdeling binnen overheidsorganisaties en helpen u met praktische oplossingen die aansluiten bij uw dagelijkse werkprocessen. Onze ervaring met meer dan 1.843 afgeronde audits sinds 2018 stelt ons in staat om snel risico’s te identificeren en concrete verbeteringen voor te stellen.
Onze aanpak voor veilige gegevensdeling omvat:
- Grondige analyse van uw huidige gegevensverwerkingen en deelpraktijken
- Toetsing aan de AVG, de Wpg en andere relevante wetgeving
- Opstellen van heldere procedures voor rechtmatige gegevensdeling
- Training van medewerkers over privacyregels en veilige werkwijzen
- Implementatie van technische beveiligingsmaatregelen
- Periodieke audits om naleving te waarborgen
Met onze “geen gekibbel garantie” en vaste prijzen, inclusief eventuele heraudits, krijgt u transparantie en zekerheid. Ons klantretentiepercentage van 91,4% toont aan dat organisaties tevreden zijn met onze praktische, resultaatgerichte aanpak. Neem contact op om te bespreken hoe wij uw organisatie kunnen helpen met veilige en rechtmatige gegevensdeling.