Organisatie A verstrekt mijn gegevens aan een andere organisatie: mag dat zomaar?
Nee, dit mag niet zomaar. Het doorgeven van persoonsgegevens mag alleen als aan bepaalde voorwaarden is voldaan.
In het algemeen geldt dat het verstrekken van persoonsgegevens verenigbaar moet zijn met het doel van het verzamelen daarvan. Of dit het geval is, hangt af van de concrete omstandigheden. Bij de vraag of een verstrekking verenigbaar is, spelen meerdere factoren een rol, zoals de verwantschap met het doel van verzamelen, de aard van de gegevens, de gevolgen van een verstrekking, de waarborgen die zijn getroffen en de verwachtingen van de betrokkene (dat is degene van wie een bedrijf of instelling de gegevens wil verstrekken). Er zijn zes in de wet vastgelegde gronden waarop een gegevensverstrekking gebaseerd kan zijn. Dat zijn de toestemming, de overeenkomst, de wettelijke verplichting, een vitaal belang van de betrokkene, de uitvoering van een publiekrechtelijke taak en het gerechtvaardigd belang. Een verstrekking moet gebaseerd zijn op één van deze zes gronden.
De regels die gelden voor het doorgeven van persoonsgegevens vindt u onder het onderwerp verstrekking van uw persoonsgegevens
Maakt het voor het doorgeven van gegevens uit of die vallen onder het ambts- of beroepsgeheim?
Verstrekking van gegevens aan een andere organisatie is niet toegelaten als een ambts- of beroepsgeheim zich daartegen verzet. Hierbij kunt u denken aan onder meer het beroepsgeheim van advocaten, notarissen of ambtenaren in fiscale of inlichtingendiensten. Is er sprake van een beroepsgeheim, dan mag een organisatie persoonsgegevens alleen doorgeven met toestemming van de betrokkene. De wet maakt een uitzondering voor enkele specifieke gevallen. Zo volgt uit de Wet op de geneeskundige behandelingsovereenkomst dat medische gegevens zonder toestemming verstrekt kunnen worden aan personen die noodzakelijkerwijze bij de behandeling van een patiënt betrokken zijn, de zogenaamde ‘functionele eenheid’. Zie voor meer informatie het informatieblad Geheimhouding van uw medische gegevens.
Waar kunt u klagen als u meent dat een organisatie uw persoonsgegevens ten onrechte aan een andere organisatie heeft verstrekt?
Ga met uw vragen of klachten altijd eerst naar de organisatie die uw persoonsgegevens aan een andere organisatie heeft verstrekt. Dit is de zogeheten verantwoordelijke. De verantwoordelijke kan zijn uw werkgever, energiebedrijf, gemeente, bank, zorginstelling of een webshop waar u producten heeft aangeschaft.
Als u meent dat uw persoonsgegevens onrechtmatig zijn gebruikt en de verantwoordelijke reageert niet of niet naar uw tevredenheid op uw verzoek of klacht, dan kunt u naar de rechter gaan met een beroep op de rechtsbescherming die de Wet bescherming persoonsgegevens biedt. U kunt de rechter dan bijvoorbeeld vragen om een verbod, herstel van de (nadelige) gevolgen of een schadevergoeding.
U kunt ook een signaal afgeven bij het CBP.
Het CBP gebruikt de informatie uit uw signalen voor het maken van keuzes in het kader van zijn toezichthoudende taak. Het CBP doet dit op basis van een risicoanalyse. De ernst van de overtreding en het aantal mensen dat hierdoor wordt geraakt, zijn hierbij belangrijke criteria. Het CBP kan naar aanleiding van uw signaal een onderzoek starten. U wordt daarover in de regel niet persoonlijk geïnformeerd, tenzij uw signaal daartoe aanleiding geeft.
Meer informatie over de werkwijze van het CBP vindt u in de Beleidsregels handhaving door het CBP.
Meer informatie over hoe het CBP omgaat met signalen kunt u lezen in het privacyreglement.