Onze overheid, maar ook bedrijven, hebben allerlei privégegevens van burgers/klanten in bezit. Medische gegevens, adresgegevens, belastinggegevens, en ga zo maar door. Tegenwoordig zijn deze gegevens veelal opgeslagen in een digitale omgeving. De Europese Unie heeft daarom nieuwe regelgeving gerealiseerd om deze persoonsgegevens te beschermen. De Algemene Verordening Gegevensbescherming, afgekort AVG, geldt in Nederland vanaf 25 mei 2018. De AVG bevat onder andere strengere regels omtrent (digitale) persoonsgegevens.
Bij vrijwel elk intern onderzoek zal een onderzoeker persoonsgegevens moeten verwerken. Ook tijdens een intern onderzoek moeten privégegevens voorzichtig behandeld worden. In deze blog zal ik uitleggen wat het verwerken van persoonsgegevens eigenlijk betekent, en op welke wettelijke grond dit is gebaseerd.
Bekijk hieronder de video-samenvatting van deze blogpost:
Wat valt onder een persoonsgegeven?
In artikel 4 lid 1 AVG wordt een definitie gegeven van persoonsgegevens:
‘Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”).’
Het artikel vervolgt met een definitie voor identificeerbaar:
‘… een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens,.. etc.’
De definitie van een persoonsgegeven is zeer omvangrijk en daaruit blijkt dat wat aangemerkt kan worden als een persoonsgegeven erg uitgebreid is. Veel gegevens die zijn verzameld tijdens een onderzoek zijn te herleiden naar een identificeerbaar persoon. Neem bijvoorbeeld e-mails: In een e-mail staan al snel persoonlijke gegevens van personen, wordt er verwezen naar andere personen, en kunnen er vaak meningen of opmerkingen in voor komen die persoonlijk zijn.
Een fraudeonderzoek is vaak een onderzoek naar personen en zal daarom veel te maken hebben met de verwerking persoonsgegevens. In artikel 2 lid 1 AVG is opgenomen dat de AVG van toepassing is als er sprake is van persoonsgegevens.
Het verwerken van persoonsgegevens
Voor het verwerken van persoonsgegevens geeft de AVG de volgende definitie:
‘Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
Bij het verwerken van persoonsgegevens is het ook duidelijk dat dit een breed begrip is dat veel handelingen omvat. Tijdens een intern onderzoek kunnen er dan ook op meerdere manieren gegevens worden verwerkt. Allereerst zal er bewijs worden verzameld. Dit bewijs wordt dan geanalyseerd, waarin onrechtmatigheden zoals fraude wordt vastgesteld, en niet-relevante gegevens worden verwijderd. De relevante documenten worden vervolgens opgeslagen en verwerkt in een rapport en eventueel geopenbaard. Bij al deze handelingen kan er sprake zijn van het verwerken van persoonsgegevens.
Wanneer mag een onderzoeker persoonsgegevens verwerken?
Het verwerken van iemands persoonlijke gegevens mag niet zomaar. Voordat een intern onderzoeker gegevens mag verwerken moet hij onderbouwen dat er een gerechtvaardigde verwerkingsgrond voor is. Deze gronden staan opgenomen in artikel 6 lid 1 van de AVG.
Drie van deze gronden zijn belangrijk bij een intern onderzoek: toestemming van de betrokkene (sub a), het voldoen aan een wettelijke verplichting (sub c) en gerechtvaardigd belang (sub f)
De meeste interne onderzoeken worden gebaseerd op sub f van artikel 6, een gerechtvaardigd belang. Volgens het artikel mogen persoonsgegevens worden verwerkt indien er een gerechtvaardigd belang bestaat bij de verwerker en deze belangen gelijk staan of zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkenen. Volgens overweging 47 van de AVG valt voorkoming van fraude onder een gerechtvaardigd belang.
Verplichting of toestemming
Het kan ook voorkomen dat een verwerkingsgrond gebaseerd is op een wettelijke verplichting zoals opgenomen in sub c van artikel 6 lid 1 AVG. In dit geval is de onderzoeker genoodzaakt om persoonsgegevens te verwerken om aan een concrete of wettelijke verplichting te voldoen.
Daarnaast kan zich een situatie voordoen waarin het verwerken van persoonsgegevens is toegestaan omdat de betrokkene daar expliciete toestemming voor heeft gegeven. Dit komt voor in onderzoeken waar geen sprake is van een strafrechtelijke overtreding.
Wel is het belangrijk om te onthouden dat als er toestemming is gegeven voor het verwerken van persoonsgegevens, deze op grond van artikel 7 AVG niet verder mogen worden verwerkt dan waar de toestemming voor is gegeven. Deze toestemming voor verwerking kan en mag op elk moment worden ingetrokken. Als iemand zijn toestemming intrekt, maar de verwerkte gegevens alsnog worden gebruikt voor bewijs, dan is dit bewijs onrechtmatig verkregen.
Beginselen bij het verwerken van persoonsgegevens
In een eerdere blog heb ik al besproken dat een intern onderzoeker zich aan bepaalde beginselen moet houden tijdens het onderzoek. Met persoonsgegevens is dit hetzelfde. Er zijn meerdere beginselen van belang als het gaat om het verwerken van persoonsgegevens. Deze zal ik in de volgende blog op een rijtje zetten en uitgebreid bespreken.
In de vorige blog zijn meerdere beginselen uitgelegd waaraan een onderzoeker zich moet houden tijdens een intern onderzoek. In deze blog komen de belangrijkste twee beginselen aan bod: het proportionaliteitsbeginsel en het subsidiariteitsbeginsel. Deze twee beginselen zijn bij een intern onderzoek zeer belangrijk en worden vooral toegepast bij de bepaling van de reikwijdte (ook wel scoping) van het onderzoek.