Als je persoonsgegevens verwerkt of wilt gaan verwerken, heb je volgens de Algemene Verordening Gegevensbescherming (AVG) een concreet doel én een rechtmatige grondslag nodig. Een goed gekozen en geformuleerd doel en bijpassende grondslag is een van de grondbeginselen van de AVG. Een rechtmatige verwerking van persoonsgegevens begint dus al bij het doel en de grondslag.
Hoe kies je de juiste grondslag?
In de AVG worden 6 grondslagen genoemd voor het verwerken van persoonsgegevens. In de praktijk komen we nog vaak verkeerd gekozen grondslagen tegen. Daarnaast moet je ook kunnen verantwoorden waarom je een bepaald doel en grondslag hebt gekozen. Soms wordt er bijvoorbeeld nog te snel voor de grondslag toestemming gekozen terwijl dit helemaal niet nodig (of de bedoeling van de AVG) is. Het duidelijk toelichten van deze keuze blijkt ook nog vaak lastig. De IT-Jurist helpt je graag verder met het kiezen van én verantwoorden over het doel en de grondslag. Heb je nu al een vraag hierover en/of wil je onze hulp? Bel of mail dan snel. Wil je eerst nog wat achtergrondinfo, lees dan gerust nog even verder.
6 grondslagen voor verwerken van persoonsgegevens
De grondslagen staan in artikel 6 [1] van de AVG. Volgens dat artikel is verwerking van persoonsgegevens alleen toegestaan, als er een van de volgende grondslagen van toepassing is:
A. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meerdere specifieke doeleinden. Hierbij is van belang dat de betrokkene deze toestemming kan intrekken. Opt-out is dus mogelijk. Wordt de toestemming ingetrokken dan moet je in veel gevallen stoppen met het verwerken van deze persoonsgegevens.
B. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om op verzoek van de betrokkene voor de sluiting van een overeenkomst maatregelen te nemen. Denk hier bijvoorbeeld aan verwerking van persoonsgegevens in verband met een arbeidsrelatie of (het opstellen van) een huurovereenkomst. Opt-out is niet mogelijk.
C. De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting, die op de verwerkingsverantwoordelijke rust. Bijvoorbeeld in geval van de plicht tot loonaangifte of een bewaarplicht is verwerking noodzakelijk voor de nakoming van deze verplichting. Opt-out is niet mogelijk.
D. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Het redden van een leven is een rechtmatige grondslag voor het verwerken van persoonsgegevens. Opt-out is niet mogelijk.
E. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Een voorbeeld is verwerking van persoonsgegevens bij een gemeente, waterschap of andere (semi-)overheidsinstantie. De betrokkene kan bezwaar maken tegen deze verwerking op grond van artikel 21 van de AVG.
F. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Deze grondslag mag gebruikt worden als na een afweging van belangen blijkt dat het belang van degene die de gegevens wil verwerken zwaarder weegt dan de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene op wie de gegevens betrekking hebben. Bijvoorbeeld wanneer de betrokkene een kind is, weegt het belang van de betrokkene doorgaans zwaarder dan het belang van de gegevensverwerker. Privacybelang moet bij deze grondslag dus worden afgewogen tegenover belangen van de verwerkingsverantwoordelijke of derden. De AVG verwijst hier dus nog uitdrukkelijk naar situaties waarbij de betrokkene een kind is.
Verwerking op grond van toestemming
Toestemming wordt nog veel gebruikt als basis-grondslag, maar dat is eigenlijk niet gewenst. Toestemming is nodig in twee gevallen: als de wet toestemming eist (bijvoorbeeld voor het sturen van een marketinge-mail) of als de gegevensverwerking indruist tegen de redelijke verwachtingen die een betrokkene mag hebben ten aanzien van zijn privacy. Toestemming vragen betekent dus feitelijk dat je de andere grondslagen niet kunt gebruiken en je dus extra goed moet uitleggen waarom verwerking toch nodig is.
Daarnaast is het gebruiken van de grondslag toestemming nog aan allerlei voorwaarden verbonden, lees daarover in onze blog over cookies en toestemming. Wij adviseren daarom eerst te kijken naar de mogelijkheden om de gewenste verwerking op andere grondslagen te baseren. Vaak is er wel een andere grondslag te vinden die óók bruikbaar is.
Advies of hulp nodig?
Wil je als verwerkingsverantwoordelijke persoonsgegevens gaan verwerken, bedenk dan goed of deze verwerking gebaseerd kan worden op de grondslagen genoemd in de AVG en welke dit dan kan zijn. Wil je meer weten over dit onderwerp, heb je een concrete vraag of wil je gewoon wat zaken afstemmen hierover, neem dan snel contact met ons op via info@it-jurist.nl of 050 534 45 74.