De AVG biedt meer mogelijkheden om gegevens uit te wisselen tussen overheidsorganisaties, dan vaak door diezelfde organisaties wordt gedacht, zo stelt de Nationale ombudsman Reinier van Zutphen in het Jaarverslag over 2023. Dat meldde Security.nl onlangs. Iedereen die professioneel iets doet met de AVG zal dit alleen maar beamen, en ik hoop dat deze opvatting nu breder gedragen zal worden.
Overheidsinstanties ervaren de privacyregels als obstakel: het bekende “dat mag niet van de AVG”. En dan sta je als burger dus dingen drie keer in te vullen, of komt er iemand op het onzalige idee “toestemming” te vragen – wat vrijwel nooit juridisch correct gebeurt, als het überhaupt al rechtsgeldig is.
Een belangrijke kanttekening hierbij is wel dat het voor overheidsinstanties iets ingewikkelder is om persoonsgegevens te verwerken. De voor het bedrijfsleven (private instanties) beschikbare route van het gerechtvaardigd belang is namelijk niet beschikbaar voor overheidsinstanties die persoonsgegevens verwerken “in het kader van de uitoefening van hun taken.”
Het idee is namelijk dat het beter is dat wanneer overheden persoonsgegevens moeten gebruiken, dit in een wet (of andere regeling, zoals een APV) wordt vastgelegd. Daaruit volgt dus ook dat overheden in beginsel persoonsgegevens niet mogen gebruiken zonder zo’n regeling. De uitzondering is wanneer de taak niet publiekrechtelijk is (denk aan sentimentanalyse op Twitter), maar waar de Ombudsman het over heeft is in principe wél publiekrechtelijk.
Het juridisch antwoord is dus “dit mag wel, maar dan moet het in een wettelijke regeling uitgewerkt worden”. En dat is om een of andere reden kennelijk héél moeilijk.
Arnoud
Moet ik nog zeggen dat die ondergoedfotoapp van Albert Heijn van de AVG niet mag?