AVG en de agenda-uitnodigingen, mag dat nog?
Binnen de organisatie of het bedrijf heb je eindelijk een meeting weten te plannen, met die paar externen erbij, en je wil iedereen een agenda-uitnodiging sturen, zodat je zeker weet dat het ook in hun agenda komt te staan. Daar staan meteen de namen van de andere deelnemers ook in. De mythe leeft dat je voor bijna alle vormen van verwerking van persoonsgegevens toestemming nodig hebt, dus ook voor deze.
Systematische behandeling
Laten we gewoon eens het systeem van de AVG doorlopen.
Namen en e-mailadressen zijn natuurlijk persoonsgegevens. Functie en het bedrijf waar iemand werkt kunnen dat ook zijn. Het zijn geen bijzondere persoonsgegevens, waardoor er geen verwerkingsverbod is. Er worden dus per definitie persoonsgegevens verwerkt en verstrekt bij het gebruiken van zo’n agenda-uitnodiging.
Voor de verwerking van de persoonsgegevens en óók voor het verstrekken van persoonsgegevens aan derden is een grondslag uit de AVG nodig. Een van die grondslagen is toestemming, maar dat is vaak onhandig. Een andere grondslag die voor dit soort verwerkingen vaak gebruikt kan worden is het gerechtvaardigd belang.
Vervolgens mogen persoonsgegevens alleen voor een gerechtvaardigd doel verwerkt worden. Deze doelen zijn niet vooraf vastgelegd in de AVG, maar moet je vooral goed kunnen onderbouwen. Je mag persoonsgegevens die je voor het ene doel hebt verkregen niet (zomaar) inzetten voor het andere doel. In dit geval is het doel voor het verwerken en delen van de persoonsgegevens om zo’n meeting te kunnen organiseren.
Voor het verkrijgen en het verstrekken van de persoonsgegevens wordt hetzelfde doel gebruikt: het organiseren van de meeting. Daarom is in dit geval het verstrekken van de gegevens gerechtvaardigd.
De verwerking is dus toegestaan.
LawStories in je mailbox?
Gerechtvaardigd belang
Het belangrijkste onderdeel is hier misschien nog wel de grondslag: gerechtvaardigd belang. Deze grondslag biedt veel mogelijkheden, maar zorgt in eerste instantie wel voor iets meer werk. Er moet namelijk vooraf een belangenafweging worden gemaakt én deze moet in de privacyverklaring worden opgenomen.
Je moet dan het bedrijfsbelang benoemen en uitleggen en afwegen tegen het privacybelang van de betrokkene. Wanneer de impact op de privacy niet te groot is, kun je op deze grondslag persoonsgegevens verwerken.
In dit geval is het bedrijfsbelang om die meeting te kunnen houden en het hoort bij de gewone bedrijfsvoering. De personen in die meeting zullen elkaar al kennen en anders zullen de namen en rugnummers tijdens de meeting uitgewisseld worden, anders is het toch wat lastig praten als iedereen vervolgens pseudoniem zou moeten blijven. De inbreuk op de privacy is dus niet groot. Daarom kan de grondslag gerechtvaardigd belang gebruikt worden.
Informatieverplichting
Let wel op dat er natuurlijk nog steeds een informatieverplichting bestaat. Mensen moeten dus wel weten dat hun gegevens verwerkt worden, hoe de afweging met het gerechtvaardigd belang in elkaar zit en aan wie gegevens verstrekt worden.
Hulp nodig bij het goed toepassen van de AVG? Kom oploskoffie drinken!
Boek Oploskoffie