Datadeling is onvermijdelijk. Partnerships met leveranciers, samenwerking met internationale partijen, het uitbesteden van IT-diensten — bijna elke organisatie deelt tegenwoordig persoonsgegevens met derden. Maar één verkeerde stap kan u duur komen te staan.
De Autoriteit Persoonsgegevens (AP) legt boetes op tot €20 miljoen of 4% van de wereldwijde jaaromzet. Daarnaast kunnen betrokkenen u civielrechtelijk aansprakelijk stellen voor schade, zelfs als die immaterieel is. En dan hebben we het nog niet eens over reputatieschade en verlies van klantvertrouwen.
De Algemene Verordening Gegevensbescherming (AVG) stelt glashelder: onrechtmatige datadeling wordt zwaar bestraft. Toch zien we keer op keer dat bedrijven struikelen over dezelfde valkuilen. Dit is geen theoretische exercitie — het gebeurt in de praktijk, met échte juridische en financiële gevolgen.
In deze blog bespreken we zeven concrete AVG-risico’s bij datadeling die veel bedrijven over het hoofd zien. Voor elk risico geven we de relevante wettelijke grondslag, praktische voorbeelden, en een heldere actie die u direct kunt nemen.
1. Datadeling zonder geldige rechtsgrondslag
Het risico: U deelt persoonsgegevens met een partner, leverancier of marketingbureau, maar u heeft geen wettelijke basis om dat te doen.
Artikel 6 AVG is glashelder: elke verwerking van persoonsgegevens vereist een geldige rechtsgrondslag. Dat kan zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, taak van algemeen belang, of gerechtvaardigd belang. Veel bedrijven gaan er ten onrechte van uit dat “gerechtvaardigd belang” altijd volstaat, maar dat vereist een zorgvuldige belangenafweging en transparantie richting betrokkenen.
Voorbeeld uit de praktijk: Een webshop deelt klantgegevens met een external marketingbureau om gerichte advertenties te tonen, zonder toestemming van klanten en zonder duidelijke rechtsgrondslag. De AP constateert dat het gerechtvaardigd belang onvoldoende is onderbouwd en legt een boete op.
Praktische actie: Stel vooraf vast welke rechtsgrondslag u gebruikt en documenteer dit. Bij gerechtvaardigd belang: voer een expliciete belangenafweging uit en informeer betrokkenen helder over het delen van hun gegevens.
2. Onduidelijkheid over de rol: verwerkingsverantwoordelijke vs. verwerker
Het risico: U weet niet precies wie in uw samenwerkingsverband de verwerkingsverantwoordelijke is en wie de verwerker. Dit leidt tot verwarring over verantwoordelijkheden en aansprakelijkheid.
Artikel 4 lid 7 en 8 AVG maken onderscheid tussen de verwerkingsverantwoordelijke (degene die het doel en de middelen van de verwerking bepaalt) en de verwerker (degene die namens de verantwoordelijke gegevens verwerkt). Dit onderscheid is cruciaal: de verwerkingsverantwoordelijke is eindverantwoordelijk voor naleving van de AVG. Als u klantdata laat opslaan door een cloudprovider, bent u doorgaans de verantwoordelijke en is de provider de verwerker. Maar als twee partijen samen doelen en middelen bepalen, kunnen beiden als verantwoordelijke kwalificeren.
Voorbeeld uit de praktijk: Een zorginstelling denkt dat hun softwareleverancier volledig verantwoordelijk is voor de beveiliging van patiëntgegevens. Na een datalek blijkt dat de zorginstelling zelf als verwerkingsverantwoordelijke aansprakelijk is — met alle juridische en financiële gevolgen van dien.
Praktische actie: Bepaal vóór elke datadeling expliciet wie verwerkingsverantwoordelijke is en wie verwerker. Leg dit schriftelijk vast in een overeenkomst en zorg dat beide partijen hun verantwoordelijkheden kennen.
3. Ontbrekende of gebrekkige verwerkersovereenkomst
Het risico: U werkt met een verwerker, maar u heeft geen verwerkersovereenkomst afgesloten — of de overeenkomst voldoet niet aan de wettelijke eisen.
Artikel 28 AVG schrijft voor dat als u persoonsgegevens laat verwerken door een derde partij (verwerker), u dit schriftelijk moet vastleggen in een verwerkersovereenkomst (ook wel Data Processing Agreement of DPA genoemd). Deze overeenkomst moet minimaal het volgende bevatten: het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke. Daarnaast moet de verwerker passende technische en organisatorische maatregelen treffen en mag de verwerker geen subverwerkers inschakelen zonder voorafgaande toestemming.
Voorbeeld uit de praktijk: Een retailbedrijf besteedt klantenservice uit aan een callcenter zonder verwerkersovereenkomst. Na een datalek blijkt dat het callcenter de gegevens heeft doorgegeven aan een subverwerker in Azië. Het retailbedrijf wordt aansprakelijk gesteld en krijgt een boete van de AP.
Praktische actie: Controleer of u met alle verwerkers een verwerkersovereenkomst heeft die voldoet aan artikel 28 AVG. Zorg dat ook subverwerkers zijn gecontracteerd en dat passende beveiligingsmaatregelen zijn vastgelegd.
4. Onrechtmatige doorgifte naar derde landen buiten de EER
Het risico: U deelt persoonsgegevens met partijen buiten de Europese Economische Ruimte (EER) zonder de juiste waarborgen te treffen.
Hoofdstuk V van de AVG (artikelen 44-49) regelt de doorgifte van persoonsgegevens naar derde landen. Een doorgifte is alleen toegestaan als: (1) de Europese Commissie een adequaatheidsbesluit heeft afgegeven voor dat land, (2) u passende waarborgen treft (zoals modelcontractbepalingen of Binding Corporate Rules), of (3) er een specifieke uitzondering van toepassing is. Het Schrems II-arrest van het Hof van Justitie van de EU (CELEX 62018CJ0311) heeft de lat nog hoger gelegd: zelfs bij modelcontractbepalingen moet u beoordelen of het ontvangende land feitelijk een adequaat beschermingsniveau biedt.
Voorbeeld uit de praktijk: Een Nederlands bedrijf gebruikt een Amerikaanse cloudprovider voor opslag van HR-gegevens. Na Schrems II blijkt dat de VS geen adequaat beschermingsniveau biedt zonder aanvullende maatregelen. Het bedrijf krijgt een waarschuwing van de AP en moet de doorgifte opschorten totdat passende waarborgen zijn getroffen.
Praktische actie: Inventariseer alle doorgiften naar derde landen. Controleer of een adequaatheidsbesluit bestaat en treft zo nodig aanvullende waarborgen zoals encryptie, pseudonimisering of contractuele verplichtingen. Overweeg een Transfer Impact Assessment (TIA) uit te voeren.
5. Verzuim van de DPIA-plicht bij risicovolle datadeling
Het risico: U deelt grootschalig of gevoelige persoonsgegevens zonder vooraf een Data Protection Impact Assessment (DPIA) uit te voeren.
Artikel 35 AVG verplicht u om een DPIA uit te voeren wanneer een voorgenomen verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dat is bijvoorbeeld het geval bij grootschalige verwerking van bijzondere persoonsgegevens (zoals gezondheidsgegevens), systematische monitoring, of het gebruik van nieuwe technologieën. Een DPIA helpt u risico’s te identificeren en passende maatregelen te treffen voordat u met de verwerking begint. Het niet uitvoeren van een verplichte DPIA kan op zichzelf al tot een boete leiden.
Voorbeeld uit de praktijk: Een verzekeraar deelt medische gegevens van klanten met een databroker voor risicoanalyse, zonder vooraf een DPIA uit te voeren. De AP constateert dat sprake is van grootschalige verwerking van bijzondere persoonsgegevens en legt een boete op wegens schending van artikel 35 AVG.
Praktische actie: Beoordeel voorafgaand aan elke datadeling of een DPIA verplicht is. Let specifiek op: grootschalige verwerking, bijzondere persoonsgegevens, systematische monitoring, of nieuwe technologieën. Documenteer de DPIA en de genomen maatregelen.
6. Schending van de informatieplicht richting betrokkenen
Het risico: U deelt persoonsgegevens met derden, maar u informeert betrokkenen hier niet of onvoldoende over.
Artikelen 13 en 14 AVG verplichten u om betrokkenen helder en transparant te informeren over de verwerking van hun persoonsgegevens. Dat geldt ook — en juist — wanneer u gegevens met derden deelt. U moet betrokkenen onder meer informeren over: de identiteit van de ontvangers of categorieën van ontvangers, het doel van de verwerking, de rechtsgrondslag, en hun recht om bezwaar te maken of hun gegevens in te zien. Deze informatie moet u verstrekken op het moment van verkrijging van de gegevens, of uiterlijk binnen een maand als u de gegevens niet direct bij de betrokkene heeft verkregen.
Voorbeeld uit de praktijk: Een telecombedrijf deelt klantgegevens met een marketingpartner zonder klanten hierover te informeren. Een klant dient een klacht in bij de AP. Het bedrijf wordt beboet wegens schending van de transparantieplicht en krijgt te maken met negatieve publiciteit.
Praktische actie: Zorg dat uw privacyverklaring up-to-date is en expliciet vermeldt met welke categorieën derden u gegevens deelt, en waarom. Informeer betrokkenen actief als u nieuwe vormen van datadeling introduceert.
7. Pseudonimisering als valse veiligheid — wanneer data alsnog herleidbaar is
Het risico: U denkt dat gepseudonimiseerde data niet meer onder de AVG valt, maar de gegevens blijken in de praktijk alsnog herleidbaar tot individuen.
Artikel 4 lid 5 AVG definieert pseudonimisering als het verwerken van persoonsgegevens op zodanige wijze dat zij niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder aanvullende informatie, mits die informatie gescheiden wordt bewaard en technische en organisatorische maatregelen zijn getroffen. Pseudonimisering is een beveiligingsmaatregel, maar maakt gegevens niet anoniem. Zolang u met redelijke middelen gegevens kunt herleiden tot een persoon, blijven het persoonsgegevens en blijft de AVG van toepassing. Veel bedrijven denken ten onrechte dat ze gepseudonimiseerde data vrijelijk mogen delen.
Voorbeeld uit de praktijk: Een onderzoeksinstelling deelt gepseudonimiseerde gezondheidsgegevens met een databroker. De broker combineert de gegevens met andere datasets en kan alsnog individuele patiënten identificeren. De onderzoeksinstelling wordt aansprakelijk gesteld voor onrechtmatige verwerking.
Praktische actie: Ga er niet vanuit dat pseudonimisering voldoende is. Beoordeel altijd of gegevens in de praktijk herleidbaar blijven, en neem aanvullende maatregelen zoals encryptie van de sleutel, beperking van toegang, of volledige anonimisering waar mogelijk.
Veelgestelde vragen over AVG en datadeling
Wanneer is datadeling onder de AVG toegestaan?
Datadeling is toegestaan als u voldoet aan drie basisbeginselen: rechtmatigheid, doelbinding en transparantie (artikel 5 AVG). Ten eerste moet u een geldige rechtsgrondslag hebben volgens artikel 6 AVG. De zes rechtsgrondslagen zijn: toestemming van de betrokkene, uitvoering van een overeenkomst, wettelijke verplichting, bescherming van vitale belangen, taak van algemeen belang, of gerechtvaardigd belang. Ten tweede mag u gegevens alleen delen voor het doel waarvoor ze zijn verzameld, tenzij het nieuwe doel verenigbaar is met het oorspronkelijke doel. Ten derde moet u betrokkenen helder informeren over het delen van hun gegevens. Voldoet u aan deze voorwaarden? Dan is datadeling in beginsel rechtmatig.
Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?
De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de gegevensverwerking bepaalt (artikel 4 lid 7 AVG). Dit is de organisatie die beslist waarom en hoe persoonsgegevens worden verwerkt. De verwerker daarentegen verwerkt persoonsgegevens namens en in opdracht van de verwerkingsverantwoordelijke (artikel 4 lid 8 AVG). Een praktisch voorbeeld: als u als webshop klantgegevens laat opslaan door een cloudprovider, bent u de verwerkingsverantwoordelijke en is de provider de verwerker. Dit onderscheid is cruciaal omdat de verwerkingsverantwoordelijke eindverantwoordelijk blijft voor naleving van de AVG, ook als een verwerker fouten maakt. Bij datadeling met partners en leveranciers moet u dus altijd eerst vaststellen wie welke rol vervult.
Wanneer is een verwerkersovereenkomst verplicht?
Een verwerkersovereenkomst (ook wel Data Processing Agreement of DPA genoemd) is verplicht zodra u als verwerkingsverantwoordelijke persoonsgegevens laat verwerken door een derde partij — de verwerker (artikel 28 AVG). Dit geldt voor vrijwel alle situaties waarin u gegevens uitbesteedt: denk aan cloudopslag, payrollverwerking, marketingautomatisering of klantenserviceplatforms. De overeenkomst moet schriftelijk zijn en minimaal het onderwerp, de duur, de aard en het doel van de verwerking bevatten, plus de verplichtingen van beide partijen. Ontbreekt een verwerkersovereenkomst? Dan riskeert u een boete van de AP en bent u civielrechtelijk aansprakelijk bij een datalek of andere inbreuk, zelfs als de verwerker de fout heeft gemaakt.
Mag ik klantdata delen met een partij buiten de EU?
Ja, maar alleen onder strikte voorwaarden. Hoofdstuk V van de AVG (artikelen 44-49) regelt doorgifte naar derde landen buiten de Europese Economische Ruimte. U mag gegevens doorgeven als: (1) de Europese Commissie een adequaatheidsbesluit heeft afgegeven voor dat land (zoals het VK of Canada), of (2) u passende waarborgen treft, zoals standaardcontractbepalingen (SCC’s) of Binding Corporate Rules. Na het Schrems II-arrest moet u ook beoordelen of het ontvangende land in de praktijk een adequaat beschermingsniveau biedt — modelcontracten alleen zijn niet altijd voldoende. Overweeg aanvullende technische maatregelen zoals encryptie. Zonder deze waarborgen is doorgifte naar de VS, China of andere derde landen onrechtmatig en riskeert u hoge boetes.
Wanneer is een DPIA verplicht bij datadeling?
Een Data Protection Impact Assessment (DPIA) is verplicht wanneer datadeling waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen (artikel 35 AVG). Praktische voorbeelden: grootschalige verwerking van bijzondere persoonsgegevens (zoals medische of biometrische data), systematische monitoring van gedrag, gebruik van nieuwe technologieën zoals AI, of profilering met juridische gevolgen. Ook bij doorgifte naar derde landen met onduidelijk beschermingsniveau kan een DPIA verplicht zijn. De verwerkingsverantwoordelijke is altijd eindverantwoordelijk voor het uitvoeren van de DPIA. Een goed uitgevoerde DPIA helpt u risico’s te identificeren en passende maatregelen te treffen, en kan u beschermen tegen boetes en aansprakelijkheid.
Welke boetes kunnen bedrijven krijgen bij overtreding van de AVG?
De AVG kent twee boetecategorieën. Voor minder zware overtredingen (zoals schending van artikel 28 over verwerkersovereenkomsten) geldt een maximum van €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Voor zwaardere overtredingen (zoals het ontbreken van een rechtsgrondslag, schending van de informatieplicht, of onrechtmatige doorgifte naar derde landen) geldt een maximum van €20 miljoen of 4% van de wereldwijde jaaromzet. De Autoriteit Persoonsgegevens bepaalt de hoogte van de boete op basis van onder meer ernst, duur, opzet of nalatigheid, en genomen maatregelen. Recente handhavingspraktijk laat zien dat de AP ook daadwerkelijk hoge boetes oplegt bij structurele of grootschalige overtredingen.
Is gepseudonimiseerde data altijd veilig om te delen?
Nee, absoluut niet. Pseudonimisering is een beveiligingsmaatregel waarbij directe identificatoren worden vervangen door codes of pseudoniemen (artikel 4 lid 5 AVG). Maar zolang u met aanvullende informatie de gegevens kunt herleiden tot een persoon, blijven het persoonsgegevens en blijft de AVG volledig van toepassing. Veel bedrijven maken de fout te denken dat gepseudonimiseerde data vrijelijk gedeeld kan worden. In de praktijk kunnen gegevens vaak alsnog worden herleid door combinatie met andere datasets of door statistische analyse. Datadeling van gepseudonimiseerde gegevens vereist dus nog steeds een rechtsgrondslag, transparantie, en passende beveiligingsmaatregelen. Alleen volledige anonimisering — waarbij herleiding onmogelijk is — valt buiten de AVG.
Wat moet ik doen als mijn bedrijf een datalek heeft door onrechtmatige datadeling?
Handel snel en zorgvuldig. Artikel 33 AVG verplicht u om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, tenzij het onwaarschijnlijk is dat het lek een risico vormt voor betrokkenen. Vormt het lek een hoog risico? Dan moet u ook de betrokkenen zelf informeren (artikel 34 AVG). Eerste stappen: stop de onrechtmatige datadeling direct, inventariseer welke gegevens zijn gedeeld en met wie, beoordeel het risico voor betrokkenen, en documenteer het incident grondig. Neem zo nodig maatregelen om verdere schade te voorkomen, zoals het intrekken van toegang of het vernietigen van gedeelde data. De AP kan een onderzoek starten en eventueel een boete opleggen. Ook kunnen betrokkenen u civielrechtelijk aansprakelijk stellen voor materiële en immateriële schade.
Zorg dat u aan de juiste kant van de wet blijft
De AVG is geen papieren tijger. De Autoriteit Persoonsgegevens handhaaft actief en de boetes zijn geen lege dreiging. Bedrijven die datadeling onderschatten, betalen de prijs — letterlijk en figuurlijk.
De zeven risico’s die we hebben besproken, komen keer op keer terug in de praktijk. En in vrijwel alle gevallen waren ze te voorkomen. Het vraagt aandacht, documentatie en soms extern juridisch advies, maar het alternatief is aanzienlijk duurder.
Heeft u twijfels over uw datadeling? Bent u onzeker of uw verwerkersovereenkomsten voldoen aan de AVG? Of wilt u weten of een DPIA nodig is bij een nieuwe samenwerking? Neem contact op met een gespecialiseerde AVG-advocaat. Preventie is altijd goedkoper dan een boete — of een rechtszaak.
Neem vandaag nog actie. Uw data, uw verantwoordelijkheid.
