• Nieuws

Privacy in de praktijk – Proportionaliteit en subsidiariteit

13 maart 2018
Privacy - IT & privacy - Ploum Privacy Hotline - Technologie, media & telecom

In de reeks ‘privacy in de praktijk’ lichten wij een aantal kernbegrippen uit het privacyrecht voor u toe. Deze keer gaat het over proportionaliteit en subsidiariteit. Wat houden deze begrippen in en hoe worden deze in de praktijk toegepast?

Eerder lichtten wij al toe dat bij het verwerken van persoonsgegevens eerst het doel (of de doelen) moeten worden vastgesteld. Bij het verwerken van persoonsgegevens spelen echter ook het proportionaliteitsvereiste en het subsidiariteitsvereiste een belangrijke rol. Hieronder leggen wij uit wat onder deze vereisten wordt verstaan.

  1. Staat het doel van de verwerking in verhouding tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt?

Het proportionaliteitsvereiste brengt met zich dat het doel van de verwerking van de persoonsgegevens in verhouding moet staat tot de inbreuk op de privacy van de betrokkene. Dit betekent ook dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk. In dat kader is het van belang dat u een dataretentiebeleid opstelt, waaruit blijkt hoe lang u de verschillende persoonsgegevens bewaard. Sommige bewaartermijn volgen uit de wet, bijvoorbeeld op grond van belastingwetgeving. Hieruit volgt onder meer dat een werkgever een loonbelastingverklaring en een kopie van het identiteitsbewijs moet bewaren tot vijf jaar nadat de werknemer uit dienst is getreden. Voor bepaalde persoonsgegevens bestaan er richtlijnen zoals:

  • een bewaartermijn van twee jaar na uitdiensttreding voor het personeelsdossier; en
  • een bewaartermijn van vier weken na het einde van de sollicitatieprocedure voor sollicitatiegegevens.

Daarnaast mogen persoonsgegevens alleen toegankelijk zijn voor diegene die kennis moeten nemen van de informatie. Hiervoor is een autorisatiebeleid van belang waaruit volgt wie er toegang mogen hebben tot bepaalde persoonsgegevens. Hieruit kan onder meer volgen dat:

  • de toegang tot salarisgegevens beperkt is tot die personen die belast zijn met de salarisadministratie;
  • het personeelsdossier alleen kan worden ingezien door HR-medewerkers en de direct leidinggevende; en
  • klantgegevens slechts toegankelijk zijn voor de commerciële afdeling.

Daarnaast moet de verwerking effectief zijn. Als met de verwerking van de gegevens niet het gestelde doel kan worden bereikt, dan is de verwerking niet proportioneel.

Recent heeft de Centrale Raad van Beroep (CRvB) zich gebogen over de vraag of het opvragen van reisgegevens van studenten door Dienst Uitvoering Onderwijs (DUO) bij OV-chipkaartbedrijf Translink wel proportioneel was. Deze reisgegevens werden opgevraagd door DUO met het doel onderzoek te verrichten naar de rechtmatigheid van de aan een student verstrekte studiefinanciering, berekend naar de norm voor een uitwonende studerende. Bij DUO bestond het vermoeden dat de uitwonende beurs ten onrechte was verstrekt, omdat de student thuis zou wonen.

DUO vroeg van de desbetreffende student de reisgegevens op over een periode van achttien maanden. Aan de hand van de geraadpleegde relevante in- en uitstapgegevens wilde DUO het gebruikelijke reispatroon vaststellen en zo aanknopingspunten vinden voor de beantwoording van de vraag waar de student feitelijk zijn hoofdverblijf had. De CRvB oordeelde dat voor het vaststellen van een reispatroon een analyse van gegevens over een korte periode van bijvoorbeeld zes maanden doorgaans voldoende is. Echter, ter vergroting van de betrouwbaarheid van een dergelijke analyse kan wel worden toegestaan dat gegevens over een langere periode worden opgevraagd. Juist omdat daarmee soms ook ontlastend bewijs kan worden verkregen. De op te vragen reisgegevens moeten, gelet op het doel waarvoor ze worden opgevraagd, in beginsel betrekking hebben op de controledatum en de daarvóór gelegen periode en kunnen, bijvoorbeeld indien dat nodig is om een betrouwbare analyse te kunnen maken van de reisbewegingen, ook betrekking hebben op een korte periode daarna.

De CRvB vond deze verwerking van persoonsgegevens dus effectief en evenredig en daarmee werd aan het proportionaliteitsvereiste voldaan.

  1. Kan het doel ook op een andere wijze worden bereikt waarbij de inbreuk op de privacy van de betrokkene minder is?

Op basis van het subsidiariteitsvereiste moet altijd gekeken worden of het beoogde doel dat voor de verwerking is vastgesteld, ook op een minder ingrijpende manier en / of met minder ingrijpende middelen kan worden bereikt. De gedachte hierachter is dat bij de verwerking van persoonsgegevens de privacy van de betrokkene en eventuele derden, zo min mogelijk geschaad mag worden.

Het subsidiariteitsbeginsel speelde bijvoorbeeld een belangrijke rol in de zaak die in 2016 door een treinreiziger aanhangig werd gemaakt tegen de Autoriteit Persoonsgegevens (AP), met als derde-partij de NS. De treinreiziger had zich op het standpunt gesteld dat de AP had moeten handhaven omdat het bij de NS alleen mogelijk was om een voordeelurenabonnement af te sluiten in combinatie met een persoonlijke OV-chipkaart. Door die combinatie worden de reisgegevens verwerkt zodra de treinreiziger wil reizen met het voordeelurenabonnement. Volgens de treinreiziger was dit in strijd met de Wet bescherming persoonsgegevens (Wbp) nu het volgens hem voor de uitvoering van het voordeelurenabonnement niet noodzakelijk is dat zijn reisgegevens verwerkt worden. De AP besloot echter om niet te handhaven en tegen dit besluit heeft de betreffende treinreiziger beroep ingesteld. De rechter heeft uiteindelijk geoordeeld dat de AP onvoldoende rekening heeft gehouden met het subsidiariteitsbeginsel door onvoldoende onderzoek te doen naar de mogelijkheden die de NS zou hebben om een voordeelurenabonnement aan te bieden waarbij minder persoonsgegevens verwerkt behoeven te worden.

Hoewel het er in deze zaak met name om ging of de AP nader onderzoek zou moeten doen en eventueel zou moeten handhaven, blijkt uit deze zaak duidelijk dat in de praktijk door de rechter veel waarde wordt gehecht aan het subsidiariteitsbeginsel en de handhaving daarvan door de AP.

Algemene verordening gegevensbescherming

Onder de Algemene verordening gegevensbescherming verandert er niets aan het belang van het proportionaliteitsbeginsel en het subsidiariteitsbeginsel. Deze belangrijke beginselen zullen relevant blijven voor de beoordeling van elke verwerking van persoonsgegevens, die op een andere grondslag worden verwerkt dan met toestemming van de betrokkene. Wanneer u persoonsgegevens verwerkt op basis van één van de ‘noodzakelijkheidsgrondslagen’, zal u zich telkens dienen af te vragen of de verwerking proportioneel is en of de verwerking voldoet aan de eis van subsidiariteit. Vuistregels daarbij zijn voor het bewaren ‘hoe korter, hoe beter’ en voor de toegankelijkheid ‘hoe minder, hoe beter’.

 

Lees meer artikelen in deze reeks:

Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.

Meer informatie

Kim Prooij

M +31 6 1332 7710
E k.prooij@ploum.nl

Print dit artikel