Mag je persoonsgegevens delen met een toezichthouder of opsporingsambtenaar?

Een toezichthouder of opsporingsambtenaar klopt aan bij jouw organisatie en vordert persoonsgegevens van bijvoorbeeld een klant, leerling, inwoner of medewerker. Mag je dan delen?

 

Wie is wie?

Voordat we die vraag beantwoorden, zetten we eerst op een rijtje wanneer iemand een toezichthouder, algemene opsporingsambtenaar of buitengewoon opsporingsambtenaar is.

 

Toezichthouders

Toezichthouders controleren of organisaties en personen zich houden aan wetten en regels. De bevoegdheden van een toezichthouder staan in de Algemene wet bestuursrecht (Awb). Een toezichthouder mag bijvoorbeeld inzage in een identiteitsbewijs, inlichtingen, zakelijke gegevens en bescheiden vorderen, plaatsen betreden, onderzoeken doen en monsters nemen.

 

Welke organisaties toezichthouders mogen of moeten aanwijzen en waarvoor precies, staat in specifieke wetgeving zoals de Omgevingswet, Arbeidsomstandighedenwet, Wet maatschappelijke ondersteuning, Participatiewet of Alcoholwet. In deze specifieke wetgeving kunnen de bevoegdheden van toezichthouders worden uitgebreid of beperkt. Hierin staat ook welke sancties de organisatie (dus niet de toezichthouder zelf!) kan opleggen aan de overtreder, zoals de bestuurlijke boete.

 

Algemene opsporingsambtenaren 

Algemene opsporingsambtenaren zijn officieren van justitie, ambtenaren van politie, aangewezen militairen van de Koninklijke Marechaussee en opsporingsambtenaren van de bijzondere opsporingsdiensten.

 

In Nederland zijn er vier bijzondere opsporingsdiensten:

  1. Fiscale Inlichtingen- en Opsporingsdienst (FIOD)
  2. Nederlandse Arbeidsinspectie
  3. Inlichtingen- en opsporingsdienst van de Nederlandse Voedsel- en Warenautoriteit (NVWA-IOD)
  4. Inlichtingen- en opsporingsdienst van de Inspectie Leefomgeving en Transport (ILT-IOD)

 

Algemeen opsporingsambtenaren hebben brede bevoegdheden om strafbare feiten op te sporen, waaronder verdachten aanhouden, iemands identiteit controleren, gegevens vorderen, processen verbaal opmaken en boetes uitschrijven. Opsporingsbevoegdheden mogen alleen worden ingezet als er een redelijk vermoeden is van een strafbaar feit.

 

Buitengewoon opsporingsambtenaren (boa’s)

Boa’s zijn ambtenaren met bevoegdheden om strafbare feiten op te sporen binnen een bepaald werkterrein (domein). Er zijn vijf domeinen:

  1. Openbare ruimte (zoals gemeentelijke handhavers, parkeercontroleurs)
  2. Milieu, welzijn en infrastructuur (zoals boswachters, milieuhandhavers)
  3. Onderwijs (leerplichtambtenaren)
  4. Openbaar vervoer (zoals hoofdconducteurs)
  5. Werk, inkomen en zorg (zoals sociale rechercheurs)

 

Binnen de domeinen hebben boa’s dezelfde bevoegdheden als algemeen opsporingsambtenaren. Een boa mag zijn bevoegdheden alleen gebruiken voor opsporingswerkzaamheden binnen het eigen domein. 

 

Is er een grondslag?

Organisaties mogen alleen persoonsgegevens verwerken als daar een grondslag voor is. Onder verwerken valt ook het delen van persoonsgegevens. De Algemene verordening gegevensbescherming (AVG) kent zes grondslagen:

  1. Taak van algemeen belang
  2. Wettelijke verplichting
  3. Overeenkomst
  4. Gerechtvaardigd belang
  5. Vitaal belang
  6. Toestemming

 

Als een toezichthouder of opsporingsambtenaar bij jouw organisatie aanklopt en gegevens vordert,  dan is de grondslag ‘wettelijke verplichting’. Je bent namelijk wettelijk verplicht om medewerking te verlenen:

 

  • In de Algemene wet bestuursrecht staat:

‘Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.’

 

  • In het Wetboek van strafvordering staat:

‘In geval van verdenking van een misdrijf kan de opsporingsambtenaar in het belang van het onderzoek van degene die daarvoor redelijkerwijs in aanmerking komt en die anders dan ten behoeve van persoonlijk gebruik gegevens verwerkt, vorderen bepaalde opgeslagen of vastgelegde identificerende gegevens van een persoon te verstrekken.’

 

  • In de Wet op de economische delicten (WED) staat:

‘Een ieder is verplicht aan de opsporingsambtenaren binnen de door hen gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kunnen vorderen bij de uitoefening van de hen krachtens deze titel toekomende bevoegdheden.’

 

De opsporingsambtenaar moet bij een vordering wel uitdrukkelijk en gericht om de gegevens vragen en kunnen uitleggen op grond van welke wettelijke regeling de gegevens gevorderd worden. Er kan sprake zijn van een geheimhoudingsplicht, bijvoorbeeld het (medisch) beroepsgeheim. Dan hoef je niet mee te werken aan een vordering.  Als je verdachte bent, heb je zwijgrecht. Je hoeft namelijk niet mee te werken aan je eigen veroordeling.

 

Als een opsporingsambtenaar om gegevens vraagt in plaats van officieel vordert, is er geen wettelijke verplichting. Het is dan de vraag of jouw organisatie een grondslag heeft om de gevraagde gegevens te delen.

 

Jouw organisatie ontvangt een vordering en dan?

Als jouw organisatie een vordering van een toezichthouder of opsporingsambtenaar ontvangt, is het belangrijk dat je de volgende stappen neemt:

 

1. Legitimatie

Toezichthouders en opsporingsambtenaren moeten een officieel legitimatiebewijs bij zich dragen en op verzoek tonen. Hierop staan gegevens zoals naam, handtekening, werkgever, functie en toezichts- of opsporingsbevoegdheden.

  • Vraag daarom om het legitimatiebewijs.
  • Stel vast dat de vordering past bij de functie en bevoegdheden op de legitimatie.
  • Bij twijfel; stel kritische vragen.

 

2. Een officiële schriftelijke vordering

Het is belangrijk dat je niet meer gegevens deelt dan noodzakelijk is en dat herleidbaar is waarom en welke gegevens je hebt gedeeld. Als er achteraf bijvoorbeeld een inzageverzoek of klacht van een persoon komt, dan kunnen jij of je collega’s altijd goed uitleggen welke gegevens je waarom hebt gedeeld.

  • Deel daarom geen gegevens op basis van een mondeling verzoek. Vraag om een schriftelijke officiële vordering waarin staat op basis van welke wettelijke regeling en bevoegdheden van de toezichthouder of opsporingsambtenaar, welke gegevens (van wie) gevorderd worden.
  • Beoordeel of de gevraagde gegevens passen bij de wettelijke regeling en bevoegdheden. Als bijvoorbeeld een leerplichtambtenaar gegevens vordert, moet dit gaan over een mogelijke overtreding van de Leerplichtwet door ouders en leerling. Andere gegevens mogen niet worden gevorderd door de leerplichtambtenaar en dus ook niet door jouw organisatie worden gedeeld.
  • Bij twijfel; stel kritische vragen.

 

3. Afspraken over de informatieverplichting

Organisaties die persoonsgegevens verwerken (waaronder delen) hebben een informatieplicht. Dat houdt ook in dat ze personen van wie de gegevens zijn, moeten informeren dat en welke persoonsgegevens met wie zijn gedeeld en waarom. Tenzij het gaat om voorkomen, opsporen, vervolgen van strafbare feiten. Dan hoef je de persoon niet te informeren.

  • Geef bij de toezichthouder aan dat je de persoon van wie de gegevens zijn, vooraf informeert.
  • Bespreek met de opsporingsambtenaar wie de persoon informeert en wanneer. Als jouw organisatie (nog) niet mag informeren, vraag dan of de opsporingsambtenaar dit vastlegt in de vordering.
  • Informeer de persoon van wie de gegevens zijn, schriftelijk. Je kunt dit eerst mondeling doen.

 

4. Leg goed vast

Personen hebben een aantal rechten als het gaat om hun persoonsgegevens. Denk aan het recht op informatie, inzage, aanpassing en verwijdering. Ook zijn aantoonbaarheid en herleidbaarheid belangrijke uitgangspunten in de privacywetgeving.  

  • Zorg daarom voor een goede dossiervorming van stap 1 tot en met 3, zodat jouw organisatie uitleg kan geven waarom er welke gegevens met welke andere organisaties zijn gedeeld, als een persoon hierom vraagt.

 

Hulp nodig?

Zijn er vragen of heeft jouw organisatie advies of ondersteuning nodig bij informatiebeveiliging en privacy? Neem contact met ons op. Wij helpen u graag.

Neem contact op