Het verwerken van persoonsgegevens mag alleen met een goede reden. In de AVG ook wel grondslagen genoemd. In de praktijk wordt er nog geregeld geworsteld met het kiezen van de juiste grondslag. Daarnaast ontstaat er geregeld verwarring over de interpretatie van de grondslagen. Daarom geven we een toelichting op de 6 grondslagen van de AVG.
De AVG over persoonsgegevens verwerken
De AVG heeft als doel de privacy van mensen te beschermen. Persoonsgegevens verwerken mag alleen als het echt niet anders kan en u op geen andere manier uw doel kunt bereiken.
Denk aan de noodzaak van adresgegevens voor de verzending van een besteld product of een e-mailadres voor het toesturen van informatie over aangevraagde dienstverlening. Naast een duidelijk en concreet doel heeft u ook een rechtsgeldige grondslag nodig.
De 6 grondslagen volgens de AVG
In de AVG staan 6 grondslagen geformuleerd. Het is belangrijk om de juiste te kiezen, omdat u tegenover betrokkenen en de Autoriteit Persoonsgegevens (AP) moet kunnen verantwoorden waarom u juist voor die grondslag heeft gekozen.
1. Grondslag toestemming
Een veelgebruikte grondslag is het vragen van toestemming voor het verwerken van persoonsgegevens. Daar zijn wel de nodige regels aan verbonden, want de toestemming moet op alle volgende manieren gegeven zijn:
vrijelijk, zonder druk of scheve machtsverhoudingen;
ondubbelzinnig, via een expliciete schriftelijke of mondelinge handeling (opt-out: vooraf aangevinkte hokjes tellen dus niet);
geïnformeerd, over onder meer uw identiteit, doel van de verwerking en het type persoonsgegevens dat u verzamelt; en
specifiek, dus voor een bepaald type verwerking en een specifiek doel.
Let op!
U moet de gegeven toestemming vastleggen om geldige toestemming te allen tijde aan te kunnen tonen. Daarbij moet u ook kunnen laten zien op basis van welke informatie iemand de toestemming heeft gegeven.
Goed om te weten: mensen hebben het recht om op ieder moment hun toestemming in te trekken.
Een veelgebruikte grondslag, maar niet altijd noodzakelijk
De grondslag toestemming is niet zonder meer ideaal, omdat er zoveel eisen aan verbonden zijn en de toestemming ieder moment weer ingetrokken kan worden. Daarnaast is toestemming alleen noodzakelijk als het wettelijk verplicht is (bijv. e-mailmarketing) of als je persoonsgegevens wilt verwerken voor doeleinden die voor betrokkenen niet direct logisch of wenselijk zijn (bijv. voor nieuwsbrieven of reclame).
Het is dan ook verstandig om kritisch te kijken of toestemming echt noodzakelijk is volgens de AVG of dat de verwerking verantwoord kan worden via één van de andere grondslagen.
2. Grondslag uitvoering van een overeenkomst
Als de verwerking van persoonsgevens noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, kan op deze grondslag een beroep worden gedaan. Dit geldt ook voor de fase voorafgaand aan het sluiten van een overeenkomst, zoals bij het opstellen van een offerte.
De overeenkomst zelf mag overigens niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.
Het is belangrijk om u te realiseren dat u alleen persoonsgegevens mag verwerken die noodzakelijk zijn voor het sluiten en uitvoeren van de overeenkomst. Daarbij is van belang dat de betrokkene - dus degene van wie de persoonsgegevens worden verwerkt - partij is bij de betreffende overeenkomst.
Belangrijk aandachtspunt!
Voor alle overige verwerkingen die niet noodzakelijk zijn bij de uitvoering van de overeenkomst, heeft u toestemming of een andere grondslag nodig.
3. Grondslag wettelijke verplichting
Sommige verwerkingen zijn noodzakelijk om aan uw wettelijke verplichtingen te voldoen. Bijvoorbeeld bij het doen van loonaangifte of het bewaren van persoonsgegevens voor de Belastingdienst.
4. Grondslag vitaal belang
Op deze grondslag kunt u zich slechts bij hoge uitzondering beroepen. Een vitaal belang is namelijk aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. Daarbij kunt u die persoon ook niet om toestemming vragen om gegevens te verwerken. Bijvoorbeeld bij rampen of als iemand bewusteloos is.
5. Grondslag algemeen belang of openbaar gezag
Deze grondslag kan worden ingezet als de verwerking noodzakelijk is om een publieke taak uit te oefenen voor het algemeen belang of openbaar gezag. Denk aan cameratoezicht voor de openbare veiligheid.
Om u op deze grondslag te kunnen baseren, moet uw organisatie door de wet zijn aangewezen (bijvoorbeeld als bestuursorgaan of met een ministeriële regeling) om een specifieke wettelijke taak uit te voeren.
6. Grondslag gerechtvaardigd belang
Om u op deze grondslag te kunnen baseren, moet u aan 3 voorwaarden voldoen.
U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
De verwerking is noodzakelijk om dit belang te behartigen.
U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.
Door uw verwerking aan deze 3 voorwaarden te toetsen, ontdekt u of uw recht om persoonsgegevens te verwerken zwaarder weegt dan iemands recht op privacy.
De Autoriteit Persoonsgegevens vermeldt op haar site voorbeelden van een gerechtvaardigd belang, waaronder:
iemand aansprakelijk stellen voor schade;
bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten;
computersystemen goed beveiligen en beschermen; en
zorgplichten nakomen voor werknemers en/of klanten.
Een grondslag waar veel discussie over is
Een gerechtvaardigd belang formuleren en verantwoorden is in de praktijk niet altijd even eenvoudig.
Ook niet voor de Autoriteit Persoonsgegevens.
Zo valt op de website van de AP te lezen dat ‘een zuiver commercieel’ belang geen gerechtvaardigd belang is.
Dit is echter nog maar de vraag.
Nadat tennisbond KNLTB een boete van de AP had gekregen, stapte de KNLTB naar de rechter. De AP had de boete opgelegd omdat de KNLTB persoonsgegevens aan sponsoren had verstrekt (een zuiver commercieel belang), zonder toestemming van de betrokkenen. Er was volgens de AP dan ook geen geldige grondslag.
De KNLTB verklaarde tegenover de Autoriteit Persoonsgegevens dat het een gerechtvaardigd belang had om die gegevens te verkopen. De rechter heeft nog geen uitspraak gedaan, maar heeft prejudiciële vragen gesteld aan het Europese Hof van Justitie.
De vraag ligt voor wat de term "gerechtvaardigd belang" precies inhoudt en of een commercieel belang - waarbij persoonsgegevens zonder toestemming worden gebruikt - onder omstandigheden is aan te merken als een gerechtvaardigd belang.
Een belangrijke uitspraak voor het inzetten van persoonsgegevens voor commerciële doeleinden, waarover we u op de hoogte houden.
Op de hoogte blijven?
Meldt u zich dan aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs vanzelf in uw mailbox.