13 mrt '18
In de reeks ‘privacy in de praktijk’ lichten wij een aantal kernbegrippen uit het privacyrecht voor u toe. Deze keer gaat het over proportionaliteit en subsidiariteit. Wat houden deze begrippen in en hoe worden deze in de praktijk toegepast?
Eerder lichtten wij al toe dat bij het verwerken van persoonsgegevens eerst het doel (of de doelen) moeten worden vastgesteld. Bij het verwerken van persoonsgegevens spelen echter ook het proportionaliteitsvereiste en het subsidiariteitsvereiste een belangrijke rol. Hieronder leggen wij uit wat onder deze vereisten wordt verstaan.
Het proportionaliteitsvereiste brengt met zich dat het doel van de verwerking van de persoonsgegevens in verhouding moet staat tot de inbreuk op de privacy van de betrokkene. Dit betekent ook dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk. In dat kader is het van belang dat u een dataretentiebeleid opstelt, waaruit blijkt hoe lang u de verschillende persoonsgegevens bewaard. Sommige bewaartermijn volgen uit de wet, bijvoorbeeld op grond van belastingwetgeving. Hieruit volgt onder meer dat een werkgever een loonbelastingverklaring en een kopie van het identiteitsbewijs moet bewaren tot vijf jaar nadat de werknemer uit dienst is getreden. Voor bepaalde persoonsgegevens bestaan er richtlijnen zoals:
Daarnaast mogen persoonsgegevens alleen toegankelijk zijn voor diegene die kennis moeten nemen van de informatie. Hiervoor is een autorisatiebeleid van belang waaruit volgt wie er toegang mogen hebben tot bepaalde persoonsgegevens. Hieruit kan onder meer volgen dat:
Daarnaast moet de verwerking effectief zijn. Als met de verwerking van de gegevens niet het gestelde doel kan worden bereikt, dan is de verwerking niet proportioneel.
Recent heeft de Centrale Raad van Beroep (CRvB) zich gebogen over de vraag of het opvragen van reisgegevens van studenten door Dienst Uitvoering Onderwijs (DUO) bij OV-chipkaartbedrijf Translink wel proportioneel was. Deze reisgegevens werden opgevraagd door DUO met het doel onderzoek te verrichten naar de rechtmatigheid van de aan een student verstrekte studiefinanciering, berekend naar de norm voor een uitwonende studerende. Bij DUO bestond het vermoeden dat de uitwonende beurs ten onrechte was verstrekt, omdat de student thuis zou wonen.
DUO vroeg van de desbetreffende student de reisgegevens op over een periode van achttien maanden. Aan de hand van de geraadpleegde relevante in- en uitstapgegevens wilde DUO het gebruikelijke reispatroon vaststellen en zo aanknopingspunten vinden voor de beantwoording van de vraag waar de student feitelijk zijn hoofdverblijf had. De CRvB oordeelde dat voor het vaststellen van een reispatroon een analyse van gegevens over een korte periode van bijvoorbeeld zes maanden doorgaans voldoende is. Echter, ter vergroting van de betrouwbaarheid van een dergelijke analyse kan wel worden toegestaan dat gegevens over een langere periode worden opgevraagd. Juist omdat daarmee soms ook ontlastend bewijs kan worden verkregen. De op te vragen reisgegevens moeten, gelet op het doel waarvoor ze worden opgevraagd, in beginsel betrekking hebben op de controledatum en de daarvóór gelegen periode en kunnen, bijvoorbeeld indien dat nodig is om een betrouwbare analyse te kunnen maken van de reisbewegingen, ook betrekking hebben op een korte periode daarna.
De CRvB vond deze verwerking van persoonsgegevens dus effectief en evenredig en daarmee werd aan het proportionaliteitsvereiste voldaan.
Op basis van het subsidiariteitsvereiste moet altijd gekeken worden of het beoogde doel dat voor de verwerking is vastgesteld, ook op een minder ingrijpende manier en / of met minder ingrijpende middelen kan worden bereikt. De gedachte hierachter is dat bij de verwerking van persoonsgegevens de privacy van de betrokkene en eventuele derden, zo min mogelijk geschaad mag worden.
Het subsidiariteitsbeginsel speelde bijvoorbeeld een belangrijke rol in de zaak die in 2016 door een treinreiziger aanhangig werd gemaakt tegen de Autoriteit Persoonsgegevens (AP), met als derde-partij de NS. De treinreiziger had zich op het standpunt gesteld dat de AP had moeten handhaven omdat het bij de NS alleen mogelijk was om een voordeelurenabonnement af te sluiten in combinatie met een persoonlijke OV-chipkaart. Door die combinatie worden de reisgegevens verwerkt zodra de treinreiziger wil reizen met het voordeelurenabonnement. Volgens de treinreiziger was dit in strijd met de Wet bescherming persoonsgegevens (Wbp) nu het volgens hem voor de uitvoering van het voordeelurenabonnement niet noodzakelijk is dat zijn reisgegevens verwerkt worden. De AP besloot echter om niet te handhaven en tegen dit besluit heeft de betreffende treinreiziger beroep ingesteld. De rechter heeft uiteindelijk geoordeeld dat de AP onvoldoende rekening heeft gehouden met het subsidiariteitsbeginsel door onvoldoende onderzoek te doen naar de mogelijkheden die de NS zou hebben om een voordeelurenabonnement aan te bieden waarbij minder persoonsgegevens verwerkt behoeven te worden.
Hoewel het er in deze zaak met name om ging of de AP nader onderzoek zou moeten doen en eventueel zou moeten handhaven, blijkt uit deze zaak duidelijk dat in de praktijk door de rechter veel waarde wordt gehecht aan het subsidiariteitsbeginsel en de handhaving daarvan door de AP.
Onder de Algemene verordening gegevensbescherming verandert er niets aan het belang van het proportionaliteitsbeginsel en het subsidiariteitsbeginsel. Deze belangrijke beginselen zullen relevant blijven voor de beoordeling van elke verwerking van persoonsgegevens, die op een andere grondslag worden verwerkt dan met toestemming van de betrokkene. Wanneer u persoonsgegevens verwerkt op basis van één van de ‘noodzakelijkheidsgrondslagen’, zal u zich telkens dienen af te vragen of de verwerking proportioneel is en of de verwerking voldoet aan de eis van subsidiariteit. Vuistregels daarbij zijn voor het bewaren ‘hoe korter, hoe beter’ en voor de toegankelijkheid ‘hoe minder, hoe beter’.
Lees meer artikelen in deze reeks:
Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.