Privacy in daagse dingen: Felicitaties van de Burgemeester, de Commissaris van de Koning en van de Koning en de Koningin.
Enkele dagen geleden was ik aanwezig op de feestelijkheden van een diamanten bruiloft: het paar is 60 jaar getrouwd. Een feestdag voor het paar! De feestelijke dag ging vergezeld van verschillende felicitaties en attenties. Op die dag vielen drie opvallende brieven door de brievenbus: van de Burgemeester, van de Commissaris van de Koning en van het Koninklijk paar. Vanzelfsprekend was het bruidspaar daarmee verguld. De brieven liggen nog steeds opvallend op tafel ‘tentoongesteld’.
Aan de formele kant van deze brieven is op het gebied van de AVG nog wel iets te zeggen.
De brief van de Burgemeester
Het bruidspaar staat uiteraard ingeschreven in de Basisregistratie Personen (BRP), voorheen de Gemeentelijke basisadministratie persoonsgegevens van de Gemeente, in dit geval Den Haag. Dat is de wettelijke taak van de gemeente, evenals het bijhouden van allerlei gebeurtenissen rondom de personen: geboorte, huwelijk, overlijden, maar ook verhuizen en scheiden. Tot zover mankeert er aan de wettelijke grondslag helemaal niets. Daar kun je bij opmerken dat een verplichte registratie van een huwelijksdatum niet inhoudt dat je dan op jubilea zou mogen reageren.
De “Verklaring inzake Gegevensbescherming” stelt onder het kopje “Gebruik van persoonsgegevens door de gemeente”: “De gemeente voert alleen taken uit die belangrijk zijn voor haar inwoners en bezoekers. De gemeente gebruikt hiervoor soms persoonsgegevens van haar inwoners en bezoekers. Als u in Den Haag woont houdt de gemeente bijvoorbeeld uw naam, geboortedatum, woonadres en Burgerservicenummer (BSN) bij in de Basisregistratie personen (BRP).”
Aan de redactie van de tekst “.. voert alleen taken uit die belangrijk zijn voor haar inwoners en bezoekers.” valt wat af te dingen. De één vindt felicitaties van de Burgemeester belangrijk, een ander geeft er niet veel om.
In alle geval heeft de Gemeente Den Haag kennelijk opgevat dat de felicitatie met een diamanten huwelijk belangrijk is en zij gebruikt de persoonsgegevens om dat in de vorm van een felicitatie en een bos bloemen kenbaar te maken. Overigens zijn de persoonsgegevens dus ook gedeeld met de bloemist. De brief is ondertekend door de Burgemeester die als vertegenwoordiging van de verwerkingsverantwoordelijke gemeente, vanzelfsprekend een adequate vertegenwoordiger is.
De brief van de Commissaris van Koning
De Commissaris van de Koning feliciteert het bruidspaar maar geeft nergens aan hoe deze daarvan op de hoogte is geraakt. Zou de provincie inzage hebben in de BRP? Zou deze op de hoogte zijn gesteld door de Gemeente?
De taken van Provincies liggen vooral op gebieden als: Ruimtelijke ordening en volkshuisvesting, Milieubeheer, Samenleving en cultuur, Waterstaat, Economische en agrarische zaken, toerisme en recreatie, Openbaar vervoer en Toezicht op de gemeenten (bron prodemos.nl). Op de website van de provincie zelf lees ik dat zij werkt aan de thema’s: Slim ruimtegebruik, Innovatieve economie, Aantrekkelijke leefomgeving, Schone energie en Best bereikbare provincie. In een ander menu vind ik een rangschikking van de onderwerpen: Ruimte, Verkeer en Vervoer, Landschap, Economie, Energie, Lokaal bestuur, Internationaal, Veiligheid, Milieu, Samenleving, Omgevingswet en Klimaat.
Maar naast deze diversiteit van aan de provincie opgelegde taken kan de provincie ook zelf bepalen welke taken zij wil aanpakken. Anders gezegd: de provincie heeft naast de wettelijk opgelegde taken een ‘open huishouding’, zoals vastgelegd in artikel 124 van de grondwet. In 124 lid 1: “Voor provincies en gemeenten wordt de bevoegdheid tot regeling en bestuur inzake hun huishouding aan hun besturen overgelaten.”
Met de beste wil van de wereld lees ik nergens in de taken en verantwoordelijkheden van provincies “felicitaties aan burgers”.
Privacyverklaring van de Provincie
De privacyverklaring van de Provincie Zuid Holland bevat in de inleiding de volgende tekst:
“De provincie Zuid-Holland (provincie) is onder andere verantwoordelijk voor de inrichting van landelijk gebied, een bereikbare regio en het regionaal economisch beleid. Op deze beleidsterreinen maakt de provincie beleid. Ze beheert en onderhoudt cultureel erfgoed en monumentenzorg en verleent subsidies en ontheffingen. Door de aard van deze wettelijke en publieke taken verwerkt de provincie persoonsgegevens.”
En onder “Verwerken van persoonsgegevens” staat “Het is mogelijk dat de provincie voor de uitvoering van haar wettelijke en publieke taken, zoals voorgaand omschreven, persoonsgegevens van u verwerkt. Als u een aanvraag indient of melding maakt bij, een dienst of product afneemt van, u zich inschrijft voor een nieuwsbrief of evenement, contact opneemt met of een bezoek brengt aan de provincie verwerken wij bijvoorbeeld uw contactgegevens, zoals telefoonnummer en e-mailadres om u goed van dienst te kunnen zijn.
Uw gegevens worden alleen volgens deze privacyverklaring verwerkt, dus op een behoorlijke en zorgvuldige wijze en alleen voor duidelijk omschreven en noodzakelijke doelen. Wij verwerken en gebruiken uitsluitend de persoonsgegevens die noodzakelijk zijn voor onze dienstverlening aan u.”
In de privacyverklaring lees ik nergens dat persoonsgegevens worden verwerkt voor het doen van felicitaties.
Bron van de informatie
De meest logische verklaring lijkt me dat de Gemeente deze informatie aan de Commissaris van de Koning verstrekt. Terug naar de privacyverklaring van de Gemeente.
Onder “Verstrekking aan andere organisaties” staat: “De gemeente werkt voor de uitoefening van haar taken en verantwoordelijkheden samen met partners buiten de organisatie. Dat kunnen andere overheidsinstanties zijn, maar soms ook private partijen. In bepaalde gevallen deelt de gemeente persoonsgegevens met die organisaties. Op het moment dat de gemeente persoonsgegevens uitwisselt met andere partijen maakt zij daarover afspraken die afgestemd zijn op de geldende wet- en regelgeving.
Met deze organisaties sluit de gemeente een verwerkersovereenkomst af. De gemeente blijft verantwoordelijk voor de verwerking van uw persoonsgegevens.”
Van belang is daarbij dat de Gemeente – terecht – aangeeft dat zij voor de uitvoering van haar taken en verantwoordelijkheden persoonsgegevens deelt met anderen. Maar is feliciteren van burgers wel een taak van de Gemeente? Kan zij dit tot haar verantwoordelijkheid rekenen? Eerder hebben we gesteld dat de Gemeente dit kennelijk belangrijk vindt. Tot op zekere hoogte kan ik het daar wel mee eens zijn. Een blijk van medeleven met een gebeurtenis van een diamanten huwelijk van de gemeente wordt veelal als passend beschouwd.
De zin die daarna in de verklaring van de Gemeente staat lijkt me in dit geval zeker niet passend. De gemeente blijft verantwoordelijk voor de verwerking van persoonsgegevens als ze deze met een verwerker deelt. Maar de Commissaris van de Koning is geen verwerker in deze relatie: die is verwerkingsverantwoordelijke. Zijn taak is niet het opslaan van de persoonsgegevens van de jubilarissen. Hij verricht daarmee zelf een ‘dienst’: hij feliciteert het bruidspaar.
Toegang tot de BRP?
Kan het zijn dat de Provincie zelfstandig toegang heeft tot de BRP? Dat is in aanleg natuurlijk mogelijk. De Rijksdienst voor Identiteitsgegevens (RIVG) vermeld op de website: “Overheidsorganen kunnen systematisch gegevens uit de BRP krijgen als zij deze gegevens nodig hebben voor een goede vervulling van hun taak. Overheidsorganen zijn bestuursorganen zoals beschreven in artikel 1.1 van de Algemene wet bestuursrecht.”
Dan moet de vraag gesteld worden tot welke gegevens de Provincie dan toegang heeft met welk doel. Wanneer de Provincie toegang op rechtmatige gronden heeft, maar eigener beweging gebruik maakt van gegevens als de datum van huwelijk zou ik durven stellen dat dit een datalek is dat aan de AP gemeld moet worden. “Gegevens uit de BRP mogen alleen gebruikt worden voor publiekrechtelijke taken” valt te lezen op de website van de Rijksdienst voor Identiteitsgegevens.
Terug naar de privacyverklaring van de provincie
Nu de Commissaris van de Koning kennelijk persoonsgegevens heeft ontvangen raadpleeg ik opnieuw de privacyverklaring. In dit document staat nergens vermeld uit welke bron de Provincie persoonsgegevens verkrijgt, althans niet dat zij gegevens ontvangt van een Gemeente. Over de bewaartermijn van de ontvangen persoonsgegevens geeft het document ook geen uitsluitsel. In “Hoe lang we gegevens bewaren” staat: “De provincie bewaart uw gegevens niet langer dan noodzakelijk is voor de goede uitvoering van haar taken en het naleven van wettelijke verplichtingen. Hoe lang bepaalde gegevens worden bewaard, is afhankelijk van de aard van de gegevens en het doel waarvoor zij zijn verwerkt.” Nu felicitaties aan burgers kennelijk geen taak van de Provincie is, rijst de vraag hoe lang gegevens die niet nodig zijn voor de uitvoering van haar taken en het naleven van wettelijke verplichtingen bewaard worden. Als de Provincie de gegevens al niet mag verwerken komt bewaren natuurlijk ook niet aan de orde in de privacyverklaring.
De brief van Zijne Majesteit de Koning en Hare Majesteit de Koningin.
In deze brief staat dat Zijne Majesteit de Koning en Hare Majesteit de Koningin “hebben vernomen” dat het op de betreffende datum 60 jaar geleden is dat betrokkenen in het huwelijk traden.
“Hebben vernomen”. Van wie dan? Laten we uitgaan dat de Gemeente dat heeft doorgegeven aan de Dienst van het Koninklijk Huis.
De privacyverklaring van de DKH vermeldt onder “Persoonsgegevens die wij verwerken”, “Persoonsgegevens worden uitsluitend verwerkt als dat noodzakelijk is voor een specifiek doel of doelen waarvoor de persoonsgegevens verzameld worden, bijvoorbeeld omdat u te gast bent op een evenement, voor correspondentie en/of omdat u deze zelf aan ons verstrekt. Er worden niet méér persoonsgegevens verwerkt dan strikt noodzakelijk is.”
Onder “Bewaartermijn persoonsgegevens”, staat “De Dienst van het Koninklijk Huis gebruikt uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. Zo worden uw persoonsgegevens tot één jaar na een evenement bewaard, tenzij de verwachting is dat u in het kader van uw functie vaker voor evenementen zult worden uitgenodigd.”
Deze privacyverklaring geeft enerzijds meer precies aan wat er met persoonsgegevens wordt gedaan. Anderzijds merk ik op dat de voorbeelden minimaal zijn en de omschrijving “Persoonsgegevens worden uitsluitend verwerkt als dat noodzakelijk is voor een specifiek doel of doelen waarvoor de persoonsgegevens verzameld worden” ontoereikend is. Dit is een cirkelredenering die de toets der kritiek (van de AP) niet kan doorstaan: Ik verwerk persoonsgegevens voor het doel waarvoor ik de persoonsgegevens verwerk.
Over de bewaartermijn maak ik me geen zorgen. Een volgende felicitatie bij een Platina huwelijksjubileum ligt niet in de lijn der verwachting. Ik ga er van uit dat de DKH de gegevens over 1 jaar vernietigt.
Verstrekking van de Gemeente aan de DKH
Voor wat betreft de verstrekking van de Gemeente aan de DKH moeten we weer terug naar de privacyverklaring van de Gemeente.
Eerder schreef ik: Van belang is daarbij dat de Gemeente – terecht – aangeeft dat zij voor de uitvoering van haar taken en verantwoordelijkheden persoonsgegevens deelt met anderen. Maar was feliciteren van burgers wel een taak van de Gemeente? Kan zij dit tot haar verantwoordelijkheid rekenen? Eerder hebben we gesteld dat de Gemeente dit kennelijk belangrijk vindt. Tot op zekere hoogte kan ik het daar wel mee eens zijn. Een blijk van medeleven met een gebeurtenis van een diamanten huwelijk van de gemeente wordt veelal als passend beschouwd.
Als we daarbij redeneren dat een felicitatie van het Koninklijk paar bij bijzondere gebeurtenissen veelal op prijs wordt gesteld, is delen van persoonsgegevens met de DKH daarvoor passend.
Verstrekking algemeen
In beide gevallen is niet duidelijk op welke wijze deze gegevens werden verstrekt. Hoeveel jubilarissen zijn er, verdeeld over alle gemeenten en alle provincies, waarvan gegevens voor deze doeleinden worden gedeeld? Is dit algemeen in gebruik bij alle Gemeenten en Provincies? Op welke wijze wordt de informatie technisch gedeeld? Gaat dat per reguliere e-mail of is daar “een systeem” voor? Wie hebben er toegang tot dat systeem? Is het versturen van meldingen aan provincies en DKH niet een vorm van geautomatiseerde gegevensverwerking? Wie hebben in dit verband toegang tot de BRP? Welke informatie is, met welk doel, voor wie beschikbaar ?
Over deze aspecten is geen informatie bekend.
Conclusies
Voorop staat dat ik niemand wil onthouden dat hij “van officiële zijde” wordt gefeliciteerd met welk jubileum dan ook. Onze omgang met elkaar mag door de AVG de menselijke maat niet uit het oog verliezen. Gefeliciteerd worden door Burgermeester of het Koninklijk paar is heel fijn.
Maar als één en ander netjes is gedocumenteerd kan dat ook zo blijven én ligt het vast. Dan voldoet iedereen aan de AVG.
Aan de formele kant hiervan rammelt het wel een beetje.
De Gemeente zou haar privacyverklaring bij voorkeur aanpassen en iets vermelden over het uitbrengen van felicitaties en met wie zij daartoe ook persoonsgegeven deelt. De uitvoering daarvan is tot op zekere hoogte te billijken, zeker gezien het feit dat de meesten een felicitatie op prijs zullen stellen. Het onderscheid in de tekst tussen verwerkers en verwerkingsverantwoordelijken kan duidelijker.
Voor de Provincie lijkt me in het geheel geen taak weggelegd in het feliciteren van burgers.
Het lijkt me evident dat hiervoor geen grondslag is en de verwerking van persoonsgegevens ten behoeve van felicitaties aan burgers in strijd is met de regels van Privacy.
De Gemeente zou als Verwerkingsverantwoordelijke kunnen (moeten) toetsen dat zij gegevens verstrekt aan een Verwerkingsverantwoordelijke die geen gronden heeft voor de verwerking.
Voor zover dit mogelijk wordt gedaan om de Provincie meer onder de aandacht van burgers te brengen zou dat expliciet moeten worden vermeld.
De privacyverklaring van de Dienst van het Koninklijk Huis behoeft verbetering in de omschrijving van de doelen. Aanwezigheid en betrokkenheid van het Koninklijk Huis wordt in het algemeen hogelijk op prijs gesteld. Dit zo zijnde, is het raadzaam daarover ook bepalingen op te nemen in de privacyverklaring. Gesteld dat de Gemeente de privacyverklaring van DKH heeft getoetst en opgeslagen in het eigen Verwerkingenregister, was een kritische noot van de Gemeente op zijn plaats geweest.
Ik wens u veel formele felicitaties toe!