Doelbinding van gegevens in het toegangsbeheersingssysteem: “het past of het past niet”

In de onlangs in werking getreden Algemene Verordening Gegevensbescherming (AVG) staat een artikel dat vaak uit het oog wordt verloren, maar wel het belangrijkste artikel uit de AVG is. Dat betreft art. 5 lid 1 onder b: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

Waarom is dit het belangrijkste artikel?

De andere beginselen voor het verwerken van persoonsgegevens zijn afhankelijk van het verzameldoel. Zo staat in hetzelfde artikel 5 dat persoonsgegevens niet verder mogen verwerkt als dat onverenigbaar is met de doeleinden waarvoor de gegevens verzameld zijn. Dit heet “doelbinding”. Zo is ook de maximale bewaarduur van persoonsgegevens afgeleid van doel waarvoor persoonsgegevens verzameld worden.

Waarom wordt het artikel uit het oog verloren?

Organisaties zijn volop bezig(of bezig geweest) met het opstellen van het verwerkingsregister ex artikel  30 AVG. Het “verwerkingsregister” geeft inzicht in de doeleinden waarvoor persoonsgegevens verwerkt worden en maakt de datastromen inzichtelijk. Onder het begrip “verwerken” valt het verzamelen van persoonsgegevens alsmede het verstrekken van persoonsgegevens aan personen en instanties die in het verwerkingsregister gedefinieerd zijn als “ontvanger”. En daar gaat het vaak mis.

De doeleinden waarvoor persoonsgegevens verwerkt worden zijn doorgaans te algemeen geformuleerd. Men komt niet verder dan algemene termen als “toegangsverlening”. Met focust zich niet op de vraag waarom persoonsgegevens “verzameld worden” en waarom persoonsgegevens bewaard moeten worden. Daardoor is op een later moment onduidelijk of persoonsgegevens aan bepaalde personen verstrekt mogen worden.

Twee voorbeelden

Voor het doel: ”het vastleggen van de aanwezigheid in het gebouw van de organisatie met het oog op calamiteitenbeheer en ontruimingen” zijn de bedrijfshulpverleners de logische ontvangers van de vastgelegde gegevens. Zij moeten immers kunnen vaststellen wie het gebouw/terrein betreden heeft voor de ontruiming en wie er dus nog in het gebouw zijn. De verstrekking past.

Voor het doel: ”het vastleggen van aanwezigheid met het oog op werktijdregistratie voor medewerkers (waaronder ingehuurd personeel van derden)” zijn direct leidinggevenden en de personeelsdienst de logische ontvangers. Ook medewerkers van de financiële administratie zijn logische ontvangers als de gegevens van het toegangsbeheersingssysteem gebruikt worden om juistheid van de ingediende urendeclaraties van ingehuurde medewerkers te checken.

Wat als de doeleinden te algemeen geformuleerd zijn?

Als in het verwerkingsregister – naast de hiervoor vermelde voorbeelden van verzameldoelen – niet expliciet vermeld is, dat persoonsgegevens (tevens) verzameld worden voor “het onderzoeken van vermeende integriteitsschendingen door medewerkers en/of overtreding van wettelijke voorschriften” mogen geen gegevens verstrekt worden aan integriteitsonderzoekers van de organisatie of aan de door de organisatie ingeschakelde externe onderzoekers.  Die verstrekking is immers onverenigbaar met de doeleinden waarvoor de gegevens verzameld zijn. De verstrekking past niet! In de AVG zijn geen bepalingen opgenomen die een dergelijke verstrekking wel mogelijk maken. Indien dat toch gebeurt kan in een ontslagzaak later bepleit worden dat de gegevens onrechtmatig zijn verkregen.

Tot slot

Ook voor cameratoezicht moet goed worden nagedacht over de verzameldoelen. Hiervoor geldt hetzelfde principe. De AVG is overigens niet de enige wettelijke regeling waar rekening mee moet worden gehouden. Toegangsregistratie raakt het concept “aanwezigheid, gedrag en prestaties” uit art. 27 van de Wet op de ondernemingsraden, wat betekent dat de ondernemingsraad haar instemming moet geven voor het verzamelen van de aanwezigheidsgegevens en het verdere gebruik daarvan. 

Meer weten?

Tijdens de opleiding Security Manager leert u van Felix Olijslager wat de juridische do’s en don’ts zijn van de AVG in relatie tot beveiligingstoepassingen.

Over sbo

Het Studiecentrum voor Bedrijf en Overheid (SBO) organiseert jaarlijks zo’n 200 opleidingen en congressen over o.a. onderwijs, veiligheid, milieu & RO, zorg, bouw & infra en overheid.

Bekijk ook

Congresverslag Jonge Aanwas uit de criminaliteit – 21 maart 2024

Op 21 maart 2024 vond de 2e editie van het congres Jonge aanwas uit de criminaliteit plaats …

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *