De 6 grondslagen van de AVG
De AVG (GDPR) kent 6 grondslagen. Om persoonsgegevens te mogen verwerken, moet je gebruik kunnen maken van een van deze grondslagen. Kan dat niet, dan mag je ook de persoonsgegevens niet verwerken. Soms kun je zelfs uit meerdere grondslagen kiezen. Iene miene mutte doen is dan niet zo verstandig. Hoe bepaal je dan wel de juiste grondslag?
Waarom moet je weten welke grondslag je gebruikt?
In artikel 6 van de AVG staat dat de verwerking alleen rechtmatig is als er aan ten minste een van de grondslagen wordt voldaan. Prima, zou je denken, even het lijstje aflopen, kijken of je er een kunt gebruiken en of je er iets extra’s voor moet doen en gaan! Niet te moeilijk. Klopt op zich wel, maar je moet vanwege je informatieverplichting ook vertellen van welke grondslag je gebruikmaakt. Bijna iedereen zorgt dat zijn/haar organisatie aan de informatieverplichting voldoet door middel van een privacyverklaring. Je mag niet van grondslag wisselen, dus je moet goed van te voren hebben bedacht van welke grondslag je gebruikmaakt. Je moet dus vooraf de grondslag kiezen en niet achteraf je verwerkingen rechtvaardigen door er een grondslag bij te zoeken.
LawStories in je mailbox?
Toestemming
De eerste grondslag die de AVG in artikel 6 noemt is de toestemming. Toestemming kan gegeven worden door een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. De toestemming moet uitdrukkelijk zijn. Stilzwijgende toestemming is niet voldoende.
De vereisten voor toestemming zijn strenger geworden dan ze onder onze huidige privacywet, de Wet bescherming persoonsgegevens, waren. Bovendien mag toestemming ook weer worden ingetrokken en moet dat net zo gemakkelijk zijn als het geven van de toestemming. Als dat gebeurt ben je dus je grondslag kwijt en mogen de persoonsgegevens niet meer verwerkt worden. Deze grondslag is vooral een vangnet, een soort restbepaling, voor het geval je van geen van de andere grondslagen gebruik kunt maken.
Uitvoering van de overeenkomst
De tweede grondslag maakt verwerking van persoonsgegevens mogelijk wanneer dat nodig is voor de uitvoering van de overeenkomst. Het gaat dan uiteraard om een overeenkomst waarbij de betrokkene (de persoon waarvan de persoonsgegevens zijn) partij is. Belangrijk is dat de overeenkomst niet uitgevoerd kan worden zonder die persoonsgegevens. Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden.
Wettelijke verplichting
Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet. Denk bijvoorbeeld aan facturen die 7 jaar bewaard moeten worden. Je bent niet verplicht om daar een contactpersoon in op te nemen, maar gegevens van eenmanszaken zijn ook persoonsgegevens. Je moet dan toch die factuur, juist inclusief die gegevens van de eenmanszaak, bewaren. Ook loonadministratie moet 7 jaar bewaard worden. Daaronder vallen ook de arbeidsovereenkomsten, ziektestaten en een kopie identiteitsbewijs.
Vitale belangen
Om de vitale belangen van een natuurlijk persoon te kunnen beschermen, mogen de persoonsgegevens verwerkt worden. Maar alleen als de verwerking noodzakelijk is om die vitale belangen te kunnen beschermen.
Er is niet zo snel sprake van een vitaal belang. Vitaal wil zeggen dat het gaat om het leven van de persoon. Niet zozeer de algemene medische gegevens, maar wel in het geval van een ongeval, bijvoorbeeld, waarbij persoonsgegevens verwerkt worden om iemand op dat moment te kunnen behandelen. Van deze grondslag kan, maar ook mag bijna nooit gebruik gemaakt worden. Deze grondslag mag alleen worden gebruikt als een andere grondslag niet mogelijk is en er toch een noodzaak bestaat om de gegevens te verwerken om het vitale belang te beschermen.
Algemeen belang
Als er een taak van algemeen belang vervuld moet worden waarvoor de verwerking van persoonsgegevens noodzakelijk is, dan mogen de persoonsgegevens verwerkt worden. Dit geldt ook voor taken in het kader van de uitoefening van het openbaar gezag die aan de verwerkersverantwoordelijke zijn opgedragen. Hieronder vallen onder meer de gebruikelijke verwerkingen van, voor of namens de overheid. Voor deze grondslag zal meestal ook een andere wettelijke grondslag moeten bestaan. Bijvoorbeeld omdat in een wet een bepaalde taak of verplichting is opgenomen.
Een van de rechten van de betrokken, uit de AVG, is het recht op gegevenswissing. Ook wel bekend als het recht op vergetelheid. Als persoonsgegevens echter op de grondslag algemeen belang worden verwerkt, dan bestaat het recht op gegevenswissing niet. Misschien ook niet zo gek, want anders zouden gemeenten de BRP (Basisregistratie Personen, waaronder het voormalige GBA valt) niet bij kunnen houden.
Gerechtvaardigd belang
Het gerechtvaardigd belang is eigenlijk vooral een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, tenzij de privacybelangen van de betrokkene zwaarder wegen. Hierbij moet bijvoorbeeld rekening gehouden worden met de vraag in hoeverre de betrokkene had mogen verwachten dat de verwerking plaats zou vinden en met welk doel dan.
Dit belang kan bijvoorbeeld gebruikt worden om direct marketing mogelijk te maken. Let wel op dat een betrokkene altijd bezwaar mag maken tegen direct marketing en de verwerking dan moet stoppen. Het gerechtvaardigd belang is ook belangrijk voor fotografen die bijvoorbeeld fotograferen op evenementen, journalistieke of documentaire fotografie verzorgen waarbij een quitclaim niet mogelijk is of wanneer het gaat om straatfotografie.
-
Privacyverklaring€ 69,00Waardering 5.00 op 5 gebaseerd op 2 klantbeoordelingen
Doelbinding
Naast een geldige grondslag, is er ook nog een gerechtvaardigd doel nodig (artikel 6 lid 4 AVG). Gegevens mogen op basis van een grondslag verwerkt worden, maar dat mag alleen voor een bepaald doel. Die doelen staan niet in de AVG genoemd, maar moeten dus wel gerechtvaardigd zijn. De verwerking van de persoonsgegevens mag alleen plaatsvinden voor dat doel. Ook die doelen moeten in de privacyverklaring worden opgenomen.
Zo kun je bijvoorbeeld op basis van het gerechtvaardigd belang persoonsgegevens verwerken voor direct marketingdoeleinden. Soms kan een grondslag ook samenvallen met een doel. Zo kun je op basis van de grondslag wettelijke verplichting persoonsgegevens verzamelen met als doel te voldoen aan de administratieve bewaarplicht.
Heb je meer vragen over privacy, het gebruik van de grondslagen of iets anders? Ik help je graag tijdens een Oploskoffie. Boek hem zelf in en claim je plek.