AVG Grondslagen

door Jan & Marjan

Er is altijd een grondslag nodig voor het verwerken van persoonsgegevens onder de AVG. Je mag dus nooit zomaar persoonsgegevens verwerken. Je moet er altijd een wettelijke grondslag voor hebben

De grondslagen 

De AVG kent zes grondslagen voor het verwerken van persoonsgegevens: 

  1. Toestemming van de betrokken persoon. 
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. 
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. 
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. 
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. 
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. 

Kun je de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan mag je deze persoonsgegevens niet verwerken.

De verantwoordelijkheid voor het beoordelen of je je kunt baseren op een van de zes grondslagen, ligt bij jou. 

Grondslag 1 Toestemming  

Er wordt toestemming gegeven om de persoonsgegevens te verwerken.

Rechtsgeldige toestemming voldoet aan de volgende eisen: 

Vrijelijk gegeven

Je mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren. Hieronder valt ook het niet mogen downloaden van een weggever als je geen toestemming geeft voor het toesturen van marketinge-mails.

Ondubbelzinnig

Er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet helder zijn dat er toestemming is verleend. Je mag niet uitgaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

 

Geïnformeerd

je moet mensen informeren over:

  • jouw identiteit als organisatie;
  • het doel van elke verwerking waarvoor je toestemming vraagt;
  • welke persoonsgegevens je verzamelt en gebruikt;
  • het recht dat zij hebben om de toestemming weer in te trekken.
    Je  moet de informatie in een toegankelijke vorm aanbieden. Je moet duidelijke en eenvoudige taal gebruiken.

Specifiek 

Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel.

  • Indien je als organisatie bij de verwerking meerdere doeleinden hebt, moet je de betrokkene hierover informeren en betrokkene voor elk doel afzonderlijk toestemming vragen. Het doel mag niet gaandeweg veranderen. (Dit is een belangrijke voor ZZP'ers. Velen van ons verschuiven onze focus na verloop van tijd).
  • De toestemming intrekken moet net zo makkelijk kunnen als die gegeven is. Bij inschrijving online mag je dus niet vragen om een schriftelijke afmelding (via de post).
  • Je moet kunnen aantonen dat je geldige toestemming hebt verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. Je mag de persoonsgegevens dan niet verwerken.

Grondslag 2 Uitvoering overeenkomst

Je mag je op deze grondslag baseren als je een overeenkomst hebt met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk  is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben. 

Let op dat je alleen persoonsgegevens verwerkt die noodzakelijk zijn voor de uitvoering daarvan. Doet je dat niet? Dan moet je daarvoor rechtsgeldige toestemming of een andere grondslag hebben. 

Grondslag 3 Wettelijke verplichting 

Wilt je je op deze grondslag baseren? Dan moet de verwerking van de persoonsgegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Bijvoorbeeld: je hebt een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken. Of: je verstrekt gegevens voor de uitvoering van de belastingwet. 

Het hoeft niet expliciet in de wet te staan dat je voor de uitvoering van een specifieke taak persoonsgegevens moet verwerken. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan jou om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan je verplichting te voldoen. 

Zijn de persoonsgegevens echt nodig voor het nakomen van een wettelijke verplichting? Zorg ervoor dat je goed kunt onderbouwen dat je je op deze grondslag mag baseren. Onder de AVG heb je namelijk een verantwoordingsplicht.

Grondslag 4 Vitale belangen 

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en je die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven. 

 

Grondslag 5 Algemeen belang of uitoefening openbaar gezag 

Deze grondslag kun je alleen gebruiken als je een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor je organisatie. 

Het moet voor mensen ook duidelijk zijn dat je hun persoonsgegevens verwerkt voor de uitoefening van die specifieke wettelijke taak. 

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om jouw publieke taak goed te kunnen vervullen. Bijvoorbeeld: je zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid. 

Grondslag 6 Gerechtvaardigde belangen 

Je kunt je op deze grondslag baseren als je aan drie voorwaarden voldoet:  

  1. je hebt een gerechtvaardigd belang  
  2. de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen 
  3. je hebt een afweging gemaakt tussen jouw belangen en die van de personen van wie je persoonsgegevens verwerkt. 

Gerechtvaardigd belang

Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om jouw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie. 

Noodzakelijkheid

Je moet de verwerking toetsen aan de eisen van (1) proportionaliteit en (2) subsidiariteit. 

Dat betekent dat je moet nagaan of

  1. het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie je persoonsgegevens verwerkt en
  2. of je het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken. 

Afweging belangen

Je moet een afweging maken tussen jouw belangen en de belangen van de personen van wie je persoonsgegevens verwerkt. Ook moet je hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan jouw gerechtvaardigd belang. 

Je mag de gegevens niet langer bewaren dan nodig is voor het doel van de verwerking.

 

Let op: overheidsinstanties mogen zich niet baseren op deze grondslag voor de uitoefening van hun taken. Zij moeten zich dan op een van de andere grondslagen baseren, bijvoorbeeld de grondslag ‘algemeen belang of openbaar gezag’. 

Zijn de persoonsgegevens echt noodzakelijk voor de behartiging van jouw gerechtvaardigd belang? Zorg ervoor dat je goed kunt onderbouwen dat je je op deze grondslag mag baseren. Onder de AVG geldt een verantwoordingsplicht.

Bron: Autoriteit Persoonsgegevens

Meer weten over de AVG?