Post van een onbekende tandartspraktijk op je deurmat. Of je er wel even aan denkt dat je kindje naar de tandarts moet, hij of zij is tenslotte net twee jaar oud geworden. Erg handig, zo een dergelijke reminder, maar hoe wéét deze tandartspraktijk dit? Na wat uitzoekwerk blijkt dat de gemeente persoonsgegevens (adres + geboortedatum) over jouw kinderen doorspeelt aan een (jeugd)tandartspraktijk. De gemeente geeft vervolgens aan dat dit de normale gang van zaken is. Een tandartspraktijk kan volgens de gemeente gezien worden als een ‘vrije derde’ en er is sprake van een maatschappelijk belang. Bovendien dient er een gat gevuld te worden, de schooltandartsen zijn namelijk afgeschaft. De betreffende tandartspraktijk waar jij post van hebt ontvangen neemt deze rol op zich. Hartstikke fijn toch, dat de gemeente deze persoonsgegevens ongevraagd verstrekt?
Nee, helaas is dit helemaal niet hartstikke fijn en is dit niet zomaar toegestaan. In de Basisregistratie Personen (BRP) zijn persoonsgegevens opgenomen van alle ingezeten en niet-ingezeten van Nederland. Het ligt voor de hand dat niet iedereen toegang heeft tot deze gegevens of deze gegevens kan opvragen. De regelgeving die ziet op de BRP kent daarom ook een gesloten verstrekkingsregime: het is nauwkeurig omschreven aan welke organisaties gemeenten gegevens mogen verstrekken.
Wat betreft argument nr. 1 van de gemeente klopt het dat gegevens verstrekt mogen worden aan ‘vrije derden’. Een vrije derde is een rechtspersoon zonder winstoogmerk. Een tandartspraktijk kan niet gezien worden als een rechtspersoon zonder winstoogmerk. Het betoog van de gemeente gaat voor dit punt dus al niet op. Tevens natuurlijke personen kunnen aangemerkt worden als vrije derden. Dat een tandartspraktijk geen natuurlijk persoon is spreekt voor zich.
Daarbij geeft de gemeente ook nog aan dat er sprake is van een maatschappelijk belang. Bij gemeentelijke verordening kunnen door derden verrichte werkzaamheden met een gewichtig maatschappelijk belang voor de gemeente worden aangewezen. In de gemeentelijke verordening van deze betreffende gemeente wordt aangegeven dat gegevens aan vrije derden verstrekt worden met inachtneming de wet. De cirkel is nu weer rond. Gegevens mogen volgens de wet verstrekt worden aan vrije derden, maar een tandartspraktijk is dit niet.
Op naar argument nr. 2 van de gemeente: de tandartspraktijk vult een ‘gat’ op (ha ha, woordgrapje van de gemeente zelf). Dit is natuurlijk wél hartstikke fijn. Een jeugdtandarts is een goede vervanger voor de schooltandarts. Het doet er alleen niet toe of deze tandartspraktijk dit gat kan opvullen of niet. De tandartspraktijk is géén ‘vrije derde’. Daarom mogen de gegevens überhaupt niet verstrekt worden aan deze tandartspraktijk.
Tot slot kun je je afvragen of er hier geen sprake is van systematische gegevensverstrekking. Indien een tandartspraktijk elke keer gegevens ontvangt wanneer een kind twee jaar oud is geworden, kun je spreken over systematische gegevensverstrekking. Dit is slechts toegestaan als de tandartspraktijk aangemerkt kan worden als een ‘bijzondere derde’. Bijzondere derden moeten bij algemene maatregel van bestuur worden aangewezen. Bovendien moeten de gegevens die verkregen worden noodzakelijk zijn voor de vervulling van hun taak. Dit is bij de tandartspraktijk niet het geval.
Ze moeten de gemeente nog maar eens stevig aan de tand voelen. Voor je het weet ontvangen wij, met dank aan de gemeente, wekelijks een stapeltje gepersonaliseerde post. Dit ‘Big Brother’ idee ban ik liever héél snel uit mijn gedachten.
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.