Toepassing van de AVG bij de kansspelautoriteit: rechtmatige overdracht van persoonsgegevens aan ketenpartners. Auteur: Tiny Boon, Nederlandse Kansspelautoriteit

Inleiding

Als onafhankelijke toezichthouder bewaakt de Kansspelautoriteit een veilig en betrouwbaar aanbod van kansspelen. De Kansspelautoriteit is op 1 april 2012 opgericht als zelfstandig bestuursorgaan en heeft een eigen rechtspersoonlijkheid. De verantwoordelijkheid voor het kansspelbeleid ligt bij de staatssecretaris van het ministerie van Justitie & Veiligheid, maar de Kansspelautoriteit is niet hiërarchisch ondergeschikt aan de staatssecretaris. De Kansspelautoriteit oefent haar wettelijke uitvoeringstaken onafhankelijk uit.

Probleemstelling

Hoe kunnen persoonsgegevens rechtmatig en eerlijk worden verwerkt bij de Kansspelautoriteit, met name in relatie tot overdracht aan ketenpartners?
Deze casus gaat over het doorgeven van persoonsgegevens aan ketenpartners, zoals aan Belastingdienst, UWV, ABP en Arbodienst (in het geval van gegevens van werknemers) of aan gemeente/politie (ingeval van gegevens van personen die verdacht worden van illegale praktijken).
De onwetendheid zit vooral in:

• In hoeverre is de AVG van toepassing bij overheidsorganisaties die onderling persoonsgegevens uitwisselen?

• In welke situatie dient er tussen overheidsorganisaties een verwerkersovereenkomst opgesteld te worden volgens de AVG?

• Vallen persoonsgegevens die worden verzameld door een Buitengewoon opsporingsambtenaar ook onder de AVG, is er sprake van scheiding van data of valt alles onder de Wet politiegegevens (WPG)?

• In welke gevallen moet er een verwerkersovereenkomst afgesloten worden met de Arbodienst?

Ik heb onderzocht welke persoonsgegevens het betreft en de digitale beschikbaarheid daarvan.

Definities

Definitie van persoonsgegevens, art. 4, lid 1 AVG

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("de betrokkene"); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Voordat de persoonsgegevens worden geanalyseerd in de categorieën zoals beschreven in de art. 5, art. 9 en art. 10 AVG beschrijf ik welke typen persoonsgegevens het betreft. Er zijn drie categorieën: gewone persoonsgegevens, bijzondere persoonsgegevens of strafrechtelijke gegevens:

Gewone persoonsgegevens
Voorbeelden zijn: (geen onderscheid in zakelijk/persoonlijk)

• naam- en adresgegevens, e-mailadressen, telefoonnummers

• pasfoto's

• geslacht

• leeftijd en geboortedatum

• IP-adressen

• interne identificatienummers (werknemer ID)

• van overheidswege verstrekte identificatienummers (niet zijnde BSN)

• gegevens die een waardering over een persoon geven, bijvoorbeeld: salaris dat je ontvangt, iemands IQ

• gegevens die een identiteit bevestigen, bijvoorbeeld: talen die je beheerst

• (surf)gedrag, cookies

• metadata (bijv. de unieke code die een apparaat verstuurt, zoals bij een Wifi-signaal, telefoon-signaal of MAC-adres).

Bijzondere persoonsgegevens
Voorbeelden zijn:

• persoonsgegevens die iets onthullen over ras en etniciteit, politieke opinie, geloofsovertuiging, vakbondslidmaatschap

• gegevens die een natuurlijk persoon uniek kan identificeren, zoals biometrische gegevens

• gegevens over iemands gezondheid, seksleven, seksuele voorkeur

• gegevens over strafrechtelijke veroordelingen

• genetische gegevens

• verboden, tenzij… : in AVG staan 10 uitzonderingen.

• in de praktijk vallen sommigen van die uitzonderingen samen met de 6 grondslagen.

• let op: uitzondering 2, 7, 8 , 9 en 10 kun je alleen inroepen als daarvoor in de nationale wet een rechtsbasis is gecreëerd

• extra restricties bij gegevens aangaande kinderen.

Strafrechtelijke veroordeling en strafbare feiten
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

Definitie van verwerking art. 4 lid 2 AVG

• Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Alleen gewone persoonsgegevens mogen worden verwerkt wanneer de gegevensverwerking op minimaal 1 van de 6 van onderstaande grondslagen kan worden gebaseerd (art. 6 AVG).

• Toestemming van de betrokken persoon.

• De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.

• De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.

• De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.

• De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.

• De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De verwerking van bijzondere persoonsgegevens is verboden (art. 9 AVG).
Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

De verwerking van strafrechtelijke veroordeling en strafbare feiten mogen op grond van art. 6, lid 1 alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.

Wie is nu de verwerkingsverantwoordelijke, verwerker en wie zijn de derden?

Definities van verwerkingsverantwoordelijke, verwerker en derde art. 4, lid 7, lid 8 en lid 10 AVG

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen:

• Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

• Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkenen, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken.

Analyse onderlinge relaties betreffende verwerking van persoonsgegevens

Doel van de analyse is duidelijkheid krijgen wat de onderlinge relaties zijn betreffende de verwerking van de persoonsgegevens. Kijk eerst: wie zijn de betrokkenen en wie zijn de derden?

Met gebruik van bovengenoemde puzzel en van de beslisboom (zie bijlage), heb ik een conclusie getrokken en is duidelijk gemaakt voor welke spelers een verwerkersovereenkomst nodig is.

UWV

De werkgever geeft persoonsgegevens door aan het UWV. Voor de werkgever wijzigt er niets in de manier waarop zij contact hebben met UWV. De nieuwe verordening vervangt de Wbp en de organisatie kan de persoonsgegevens aan het UWV door blijven geven zoals zij gewend is. De van tevoren aangewezen personen mogen bijvoorbeeld het BSN van (ex)medewerkers telefonisch aan UWV blijven doorgeven, net als andere persoonsgegevens.

Omdat het een wettelijke taak is van de organisatie om gegevens door te geven aan het UWV is een verwerkersovereenkomst niet nodig. Beide organisaties hebben hun eigen verwerkingsverantwoordelijkheid.

Belastingdienst

De werkgever geeft persoonsgegevens door aan de Belastingdienst. De AVG stelt geen wezenlijk andere eisen aan de bescherming van persoonsgegevens dan de Wbp. De beginselen van doelbinding, noodzaak, proportionaliteit, dataminimalisatie en zorgvuldigheid en juistheid van gegevens die aan de Wbp ten grondslag liggen, komen terug in de AVG. Omdat het een wettelijke taak is van de organisatie om personeelsgegevens door te geven aan de belastingdienst is een verwerkersovereenkomst niet nodig. Beide organisaties hebben hun eigen verwerkingsverantwoordelijkheid. Echter, de vraag rijst hoe het zit in het geval van persoonsgegevens van de vergunninghouders. De Wet op de Kansspelen art. 33 en 34 bepaalt de mate van gegevensverwerking voor wettelijke taken, denk hierbij aan gegevens die betrekking hebben op strafbare feiten. Een onderzoek bestaat uit het uitvoeren van statistisch, historisch, markteconomisch of ander onderzoek ter uitvoering van de Wet op de Kansspelen.

Soorten persoonsgegevens:

• Personalia zoals naam, voornaam, geslacht, adres, postcode, woonplaats.

• Communicatiegegevens zoals telefoonnummer, e-mailadres.

• Gegevens die betrekking hebben op een onderzoeksvraag, bijvoorbeeld het bestedingspatroon van consumenten.

• Identificerende gegevens zoals IP adressen.

• Gegevens over afkomst, over schulden en over gezondheid (verslavingsgerelateerd).

Ook hier spreekt men over een wettelijke taak en dient er geen verwerkingsovereenkomst afgesloten te worden.

Voor de overige persoonsgegevens van de vergunninghouder, de opstellijsten, gegevens betreffende aantallen gokmachines, locatie, eigenaar etc. die de belastingdienst gebruikt voor eigen controle doeleinde in verband met aangiften inkomstenbelasting. Dit is geen wettelijke taak maar een afspraak tussen de Kansspelautoriteit en de Belastingdienst. De vergunninghouder dient akkoord te geven door ondertekening van het formulier vergunningaanvraag. Op dit aanvraagformulier staat specifiek vermeld dat gegevens uitgewisseld worden met de Belastingdienst. Er is een verwerkersovereenkomst nodig, waarbij de belastingdienst ook de verwerkingsverantwoordelijke wordt. Ze zijn na overdracht verwerker geworden van de gegevens. De afspraken zijn nu vastgelegd in een convenant, waarin niets is vastgelegd over datalekken, beveiliging, etc. Er dient voor deze uitwisseling per direct een aangepast convenant te worden opgesteld volgens de richtlijnen van de AVG.

Arbodienst

Werkgevers zijn verplicht zich bij te laten staan door een arbodienst/bedrijfsarts. In de Arbeidsomstandighedenwet staan de situaties waarin de werkgever verplicht is zich te laten bijstaan door een arbodienst/bedrijfsarts. Omdat de arbodienst/bedrijfsarts hiervoor zelf verantwoordelijk is met eigen wettelijke grondslag is er geen sprake van een verwerker in de zin van de AVG.
Wel dient er een verwerkersovereenkomst te komen, indien de arbodienst/bedrijfsarts meer dan slechts advies geeft, zoals het opstellen van een plan van aanpak of eerstejaarsevaluatie op grond van verplichting van de werkgever. Dan is de arbodienst/bedrijfsarts verwerker in de zin van de AVG. Is de bedrijfsarts in dienst van de werkgever, dan is er geen verwerkingsovereenkomst nodig. Dit vanwege deze gezagsverhouding. Kansspelautoriteit dient het opstellen van de verwerkersovereenkomst spoedig te regelen.

ABP-Pensioenfonds

Volgens de AVG is de werkgever in dit geval geen ‘verantwoordelijke’. De werkgever is namelijk niet degene die het doel van de verwerking van persoonsgegevens vaststelt en ook de benodigde middelen worden niet door werkgevers bepaald. De ‘verantwoordelijke’ is het ABP. Het pensioenfonds is verantwoordelijk voor het uitvoeren van de pensioenregeling. ABP is echter niet de verwerker, want ze verwerken namelijk geen gegevens, ook niet voor de werkgever. De verwerker is in dit geval de pensioenuitvoeringsorganisatie; APG in dit geval. Er hoeft tussen de werkgever en het ABP geen verwerkingsovereenkomst gesloten te worden. Echter, dient er wel een verwerkersovereenkomst gesloten te worden tussen ABP en APG.

Wettelijk kader voor opsporingsinformatie

De nieuwe wetten betekenen een grote verandering voor organisaties die zich voorheen alleen aan de WBP hoefden te houden. Alle instanties krijgen nu te maken met de AVG. Maar als zogenoemde ‘bevoegde autoriteiten’ persoonsgegevens verwerken ten behoeve van de uitvoering van de politietaak, vervolging van strafbare feiten of de tenuitvoerlegging van straffen moeten zij zich aan de WPG houden. Die bevoegde autoriteiten zijn onder andere alle buitengewoon opsporingsambtenaren (BOA), dus bijvoorbeeld gemeentelijke handhavers, parkeercontroleurs, milieu-inspecteurs, leerplichtambtenaren, conducteurs, ov-handhavers en sociaal rechercheurs. Buitengewoon opsporingsambtenaren stellen zich steeds meer op als netwerk- en ketenpartners. Ze moeten wel, want zij staan samen met de politie en andere organisaties aan de lat voor een veilig Nederland. De privacywetgeving geeft kaders voor de samenwerking door BOA’s met andere handhavers en met organisaties zonder opsporingsbevoegdheden, maar wordt in de uitvoeringspraktijk als complex ervaren. Voor een groot aantal verwerkingen van persoonsgegevens geldt de AVG. De AVG geldt niet voor gegevens die worden verwerkt voor de opsporing of vervolging van strafbare feiten.Voor alle persoonsgegevens die voor dat doel worden verwerkt, geldt de Europese Richtlijn gegevensverwerking opsporing en vervolging. In Nederland worden daaraan de WPG en het Besluit politiegegevens (BPG) aangepast.
BOA’s hebben vaak verschillende petten op en ze verwerken verschillende soorten persoonsgegevens. Gegevens die ze verwerken in het kader van toezicht vallen vanaf mei 2018 onder de AVG. Daar komt dus nog bij dat alle gegevens die ze als opsporingsambtenaar verwerken onder de ‘EU-richtlijn opsporing en vervolging’ vallen. Daarmee vallen deze laatste gegevens tevens onder WPG.

Conclusie

De WPG betekent dat een deel van de gegevenshuishoudingen anders moet worden ingericht. Er gaan andere verwerkingstermijnen met andere regels voor het verstrekken van de gegevens gelden. Er moet een bevoegd functionaris worden aangewezen, die als hoeder fungeert voor een deel van de gegevens. Er moet een register worden opgesteld waarin alle gegevensverwerkingen benoemd en uitgewerkt zijn. Voor BOA’s geldt dat alle registratiesystemen onderscheid moeten kunnen maken tussen strafrechtelijke gegevens en andere gegevens. De strafrechtelijke gegevens moeten worden geoormerkt en er gelden andere autorisaties voor de toegang tot deze gegevens. Ook is er een loggingsverplichting voor dit soort gegevens die niet geldt voor verwerkingen conform de AVG.

Er gelden voor BOA’s twee regimes naast elkaar. Enerzijds de AVG-gegevensverwerking voor ‘normale’ persoonsgegevens (personeel, klanten, relaties, e.d.) en voor alle persoonsgegevens over toezicht en bestuursrechtelijke handhaving. Anderzijds geldt de WPG voor alle persoonsgegevens over opsporing en vervolging van strafbare feiten. Binnen hetzelfde BOA-domein zullen gegevens soms ook moeten worden overgeheveld van de AVG naar de WPG en soms zullen ze zelfs in twee systemen naast elkaar staan. Simpel gezegd: de ambtenaar werkt onder de AVG. Maar zodra hij persoonsgegevens verwerkt vanuit zijn status als BOA valt dit onder de WPG. Stel: een gemeentelijke handhaver geeft tijdens een toezichtronde iemand een boete voor een strafbaar feit. Dan vallen de gegevens die hij vastlegt niet onder de AVG, maar onder de WPG. De nieuwe privacywetgeving heeft voor boa’s vooral gevolgen voor hoe ze hun werk verantwoorden. Dus in welke systemen ze werken en met wie ze de gegevens mogen delen. De WPG is veel specifieker dan de AVG, vanwege de politiegegevens. Voor deze gegevens gelden andere termijnen. Deze mogen voor andere doelen worden gebruikt en worden verzameld zonder dat de betrokkene toestemming hoeft te geven. De organisaties moeten voorzieningen treffen om deze gegevens goed te beschermen, bijvoorbeeld door ze te labelen. Alle strafrechtelijke politiegegevens ontvangen eveneens een labeltje, zodat alleen mensen met een opsporingsbevoegdheid erbij kunnen komen. Voor deze gegevens behoeft daarom geen verwerkersovereenkomst te worden afgesloten tussen de Kansspelautoriteit enerzijds en Politie/Openbaar Ministerie/Gemeente anderzijds.