Vergunning van Autoriteit Persoonsgegevens voor delen gegevens door middel van signaleringsmodule niet meer nodig?
30-06-2020
Het gerechtshof Arnhem-Leeuwarden heeft geoordeeld dat een code die erop wijst dat vanwege de aanwezigheid van hennep in de huurwoning de huurovereenkomst met een huurder is ontbonden, niet kwalificeert als een strafrechtelijk persoonsgegeven in de zin van artikel 10 Algemene verordening gegevensbescherming (AVG). Voor de praktijk betekent dit dat indien deze uitspraak in stand blijft een vergunning van de Autoriteit Persoonsgegevens (AP) voor het delen van dergelijke gegevens in een signaleringsmodule strikt genomen niet meer nodig is.
Woonruimteverdeelsysteem
Woningcorporaties die actief zijn in dezelfde regio werken vaak samen ten behoeve van de verdeling van woonruimte. Zij zijn in dat geval door de betreffende colleges van burgemeester en wethouders vaak gemandateerd om deze taak uit te voeren op grond van de Huisvestingswet 2014 en de betreffende Huisvestingsverordening. Doormiddel van een woonruimteverdeelsysteem (bijvoorbeeld Woningnet) kunnen huurders zich dan gemakkelijk op één platform inschrijven en vervolgens reageren op geschikte huurwoningen.
We zien dat woningcorporaties ook steeds vaker gaan samenwerken waar het gaat om de aanpak van huurders die in het verleden ongewenst gedrag hebben vertoond. Voor de registratie van deze categorie huurders wordt dan een signaleringsmodule ontwikkeld. Huurders die in het verleden ongewenst gedrag vertoond hebben, bijvoorbeeld hennepteelt in de gehuurde woning, kunnen op die manier tijdelijk worden uitgesloten van het reageren op woningen van de aangesloten corporaties.
Algemene verordening gegevensbescherming
Dergelijke gegevens mogen vanzelfsprekend alleen verwerkt worden indien voldaan is aan de vereisten die voortvloeien uit de AVG. In het geval dat meerdere partijen persoonsgegevens van betrokkenen met elkaar delen, dienen daar conform artikel 26 AVG, afspraken over te maken in een privacy protocol. Daarnaast is een gegevensbeschermingseffectbeoordeling (ofwel: DPIA) verplicht indien de verwerking vanwege de aard of de omvang een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. In het algemeen kan gesteld worden dat daar bij een signaleringsmodule sprake van is, nu de impact van de gegevensverwerking voor de betrokkene groot is. Zijn gegevens worden immers met meerdere partijen gedeeld en het gevolg daarvan is dat hij in de betreffende regio (tijdelijk) geen woning kan huren.
De vraag is echter of het naast het opstellen van een protocol en het uitvoeren van een gegevensbeschermingseffectbeoordeling ook noodzakelijk is om – conform artikel 33 lid 4 sub c AVG – een vergunning aan te vragen bij de Autoriteit Persoonsgegevens, omdat het om gegevens van strafrechtelijke aard gaat.
Uitspraak gerechtshof Arnhem-Leeuwarden
Het gerechtshof Arnhem-Leeuwarden oordeelt nu dat dat niet het geval is. Het hof erkent dat voor de kwalificatie van een gegeven als strafrechtelijk gegeven niet een veroordeling door een strafrechter is vereist, maar dat sprake moet zijn van zodanig concrete feiten en omstandigheden dat zij als een strafbaar feit te kwalificeren bewezenverklaring kunnen dragen. Het gaat er, aldus het hof, om dat de te verwerken gegevens in de richting wijst van een zwaardere verdenking dan een redelijk vermoeden van schuld.
In deze zaak ging het om de verwerking van een gegeven die bestaat uit een code. Met de vermelding van “Code 2” in de signaleringsmodule wordt aangegeven dat vanwege de aanwezigheid van hennepplanten in de voormalige huurwoning de overeenkomst met de voormalig huurder is beëindigd. Het hof komt tot het oordeel dat dat gegeven (de civielrechtelijke beëindiging van de huurovereenkomst vanwege hennepteelt in de woning) niet kwalificeert als een gegeven van strafrechtelijke aard als bedoeld in artikel 10 AVG.
Conclusie
Indien deze uitspraak in stand blijft, zal in veel gevallen geen vergunning meer nodig zijn van de Autoriteit Persoonsgegevens voor de verwerking van gegevens in signaleringsmodules. Een dergelijke vergunning is immers alleen nodig indien strafrechtelijke gegevens worden verwerkt. Woningcorporaties kunnen nu met codes gaan werken om zo onder het vereiste van een vergunning uit te komen. De vraag is hoe de Autoriteit Persoonsgegevens zal omgaan met de lopende vergunningsaanvragen voor verwerkingen van persoonsgegevens van strafrechtelijke aard in signaleringsmodules.
bron: AKD
