Mag onze organisatie gegevens over een student verstrekken aan een verzekeringsmaatschappij?

Afhankelijk van de context moet je dat soms doen met een toestemmingsverklaring, soms is dat niet nodig. Het maakt veel verschil of een onderwijsinstelling 'partij' is in een bepaalde situatie of niet. In een situatie waarbij de onderwijsinstelling aansprakelijk wordt gesteld voor een schade die een student heeft veroorzaakt, kan de verstrekking van gegevens het gerechtvaardigde belang van de organisatie zijn. Als een organisatie zelf geen belang heeft, verstrek je de gegevens alleen als de betrokken student daarvoor toestemming verleent.

Casus - Onderwijsinstelling aansprakelijk gesteld

Een student heeft tijdens een door de instelling georganiseerde excursie een hotelkamer vernield. De hoteleigenaar houdt de onderwijsinstelling aansprakelijk. De instelling weet dat de student met opzet schade heeft veroorzaakt aan de kamer. Dat kan grond zijn om de schade op de student (of de ouders) te willen verhalen. Als de student weigert te betalen of de benodigde gegevens niet aan de verzekeringsmaatschapij wil verstrekken, mag de onderwijsinstelling dit dan zelf doen?

Antwoord - In het kader van de afwikkeling van een schadeclaim is het verstrekken van persoonsgegevens is een vorm van verwerken. Voor de rechtmatige verwerking van persoonsgegevens, moet een beroep kunnen worden gedaan op een van de verwerkingsgrondslagen van de AVG. In deze situatie worden de persoonsgegevens van de student aan de verzekeringsmaatschappij verstrekt, met als doel de student aansprakelijk te stellen voor de schade aan de hotelkamer. Het aansprakelijk stellen van een persoon wordt doorgaans aangemerkt als een gerechtvaardigd belang. Dat is ook een verwerkingsgrondslag is voor het rechtmatig verwerken van persoonsgegevens.

Er zijn drie cumulatieve voorwaarden waaraan moet worden voldaan voordat de verwerking rechtmatig is op basis van deze verwerkingsgrondslag:

1. Het moet gaan om een gerechtvaardigd belang.
2. Vervolgens moet de verwerking noodzakelijk zijn om dit belang te behartigen. Hierbij moet worden nagegaan of het doel van de verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkene en of het doel niet bereikt kan worden op een manier die minder ingrijpend is voor de betrokkene. 
3. Als laatste moet je als organisatie een afweging maken tussen dit gerechtvaardigd belang en de belangen van de betrokkene. Hierbij moet rekening worden gehouden met de gevolgen van de verwerking voor de betrokkene, hoe ernstig de inbreuk op de privacy is, welke maatregelen worden genomen om ongewenste gevolgen te voorkomen of beperken en of de betrokkene de verwerking min of meer kan verwachten.

Toets dus of aan deze drie voorwaarden is voldaan. Is dat het geval, dan mag je de gegevens van de student aan de verzekeraar verstrekken.

Casus - Onderwijsinstelling is geen partij

Een student vertelt haar ouders dat een klasgenoot haar tas heeft vernield terwijl zij in een fietsenstalling buiten de campus met iemand aan het kletsen was na schooltijd. De ouders van de klasgenoot stellen de klasgenoot aansprakelijk. De verzekeraar vraagt de onderwijsinstelling om de benodigde gegevens van de klasgenoot te verstrekken. Mag de onderwijsinstelling dit doen?

Antwoord - De onderwijsinstelling kan deze situatie niet beoordelen en is geen partij. Verstrekking van persoonsgegevens in de situatie valt ook niet onder de doelstellingen waarvoor de persoonsgegevens zijn verzameld door de onderwijsinstelling. Dat betekent dat de organisatie geen gerechtvaardigd belang heeft om deze gegevens van de klasgenoot zonder meer aan een derde te verstrekken. De betreffende klasgenoot moet daarvoor toestemming verlenen. Het advies is te overwegen om de verzekeraar te antwoorden dat zij geen medewerking kan verlenen en te verzoeken dat de verzekeraar dit rechtstreeks aan de betrokkene uitvraagt.

^{Het antwoord op deze pagina is gebaseerd op een advies van ICTRecht aan MBO Digitaal.}