De 6 grondslagen van de AVG

De AVG (GDPR) kent 6 grondslagen. Om persoonsgegevens te mogen verwerken, moet je gebruik kunnen maken van een van deze grondslagen. Kan dat niet, dan mag je ook de persoonsgegevens niet verwerken. Soms kun je zelfs uit meerdere grondslagen kiezen. Iene miene mutte doen is dan niet zo verstandig. Hoe bepaal je dan wel de juiste grondslag?

Waarom moet je weten welke grondslag je gebruikt?

In artikel 6 van de AVG staat dat de verwerking alleen rechtmatig is als er aan ten minste een van de grondslagen wordt voldaan. Prima, zou je denken, even het lijstje aflopen, kijken of je er een kunt gebruiken en of je er iets extra’s voor moet doen en gaan! Niet te moeilijk. Klopt op zich wel, maar je moet vanwege je informatieverplichting ook vertellen van welke grondslag je gebruikmaakt. Bijna iedereen zorgt dat zijn/haar organisatie aan de informatieverplichting voldoet door middel van een privacyverklaring. Je mag niet van grondslag wisselen, dus je moet goed van te voren hebben bedacht van welke grondslag je gebruikmaakt. Je moet dus vooraf de grondslag kiezen en niet achteraf je verwerkingen rechtvaardigen door er een grondslag bij te zoeken.

Grondslagen AVG GDPR

Toestemming

De eerste grondslag die de AVG in artikel 6 noemt is de toestemming. Toestemming kan gegeven worden door een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. De toestemming moet uitdrukkelijk zijn. Stilzwijgende toestemming is niet voldoende.
De vereisten voor toestemming zijn strenger geworden dan ze onder onze huidige privacywet, de Wet bescherming persoonsgegevens, waren. Bovendien mag toestemming ook weer worden ingetrokken en moet dat net zo gemakkelijk zijn als het geven van de toestemming. Als dat gebeurt ben je dus je grondslag kwijt en mogen de persoonsgegevens niet meer verwerkt worden. Deze grondslag is vooral een vangnet, een soort restbepaling, voor het geval je van geen van de andere grondslagen gebruik kunt maken.

Uitvoering van de overeenkomst

De tweede grondslag maakt verwerking van persoonsgegevens mogelijk wanneer dat nodig is voor de uitvoering van de overeenkomst. Het gaat dan uiteraard om een overeenkomst waarbij de betrokkene (de persoon waarvan de persoonsgegevens zijn) partij is. Belangrijk is dat de overeenkomst niet uitgevoerd kan worden zonder die persoonsgegevens. Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren. Is het verwerken van de persoonsgegevens alleen maar handig, maar niet noodzakelijk, dan kan deze grondslag niet gebruikt worden.

Wettelijke verplichting

Soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens wel moet verwerken. Die verplichtingen staan dan in een andere wet. Denk bijvoorbeeld aan facturen die 7 jaar bewaard moeten worden. Je bent niet verplicht om daar een contactpersoon in op te nemen, maar gegevens van eenmanszaken zijn ook persoonsgegevens. Je moet dan toch die factuur, juist inclusief die gegevens van de eenmanszaak, bewaren. Ook loonadministratie moet 7 jaar bewaard worden. Daaronder vallen ook de arbeidsovereenkomsten, ziektestaten en een kopie identiteitsbewijs.

Vitale belangen

Om de vitale belangen van een natuurlijk persoon te kunnen beschermen, mogen de persoonsgegevens verwerkt worden. Maar alleen als de verwerking noodzakelijk is om die vitale belangen te kunnen beschermen.
Er is niet zo snel sprake van een vitaal belang. Vitaal wil zeggen dat het gaat om het leven van de persoon. Niet zozeer de algemene medische gegevens, maar wel in het geval van een ongeval, bijvoorbeeld, waarbij persoonsgegevens verwerkt worden om iemand op dat moment te kunnen behandelen. Van deze grondslag kan, maar ook mag bijna nooit gebruik gemaakt worden. Deze grondslag mag alleen worden gebruikt als een andere grondslag niet mogelijk is en er toch een noodzaak bestaat om de gegevens te verwerken om het vitale belang te beschermen.

Algemeen belang

Als er een taak van algemeen belang vervuld moet worden waarvoor de verwerking van persoonsgegevens noodzakelijk is, dan mogen de persoonsgegevens verwerkt worden. Dit geldt ook voor taken in het kader van de uitoefening van het openbaar gezag die aan de verwerkersverantwoordelijke zijn opgedragen. Hieronder vallen onder meer de gebruikelijke verwerkingen van, voor of namens de overheid. Voor deze grondslag zal meestal ook een andere wettelijke grondslag moeten bestaan. Bijvoorbeeld omdat in een wet een bepaalde taak of verplichting is opgenomen.

Een van de rechten van de betrokken, uit de AVG, is het recht op gegevenswissing. Ook wel bekend als het recht op vergetelheid. Als persoonsgegevens echter op de grondslag algemeen belang worden verwerkt, dan bestaat het recht op gegevenswissing niet. Misschien ook niet zo gek, want anders zouden gemeenten de BRP (Basisregistratie Personen, waaronder het voormalige GBA valt) niet bij kunnen houden.

Gerechtvaardigd belang

Het gerechtvaardigd belang is eigenlijk vooral een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, tenzij de privacybelangen van de betrokkene zwaarder wegen. Hierbij moet bijvoorbeeld rekening gehouden worden met de vraag in hoeverre de betrokkene had mogen verwachten dat de verwerking plaats zou vinden en met welk doel dan.
Dit belang kan bijvoorbeeld gebruikt worden om direct marketing mogelijk te maken. Let wel op dat een betrokkene altijd bezwaar mag maken tegen direct marketing en de verwerking dan moet stoppen. Het gerechtvaardigd belang is ook belangrijk voor fotografen die bijvoorbeeld fotograferen op evenementen, journalistieke of documentaire fotografie verzorgen waarbij een quitclaim niet mogelijk is of wanneer het gaat om straatfotografie.

Doelbinding

Naast een geldige grondslag, is er ook nog een gerechtvaardigd doel nodig (artikel 6 lid 4 AVG). Gegevens mogen op basis van een grondslag verwerkt worden, maar dat mag alleen voor een bepaald doel. Die doelen staan niet in de AVG genoemd, maar moeten dus wel gerechtvaardigd zijn. De verwerking van de persoonsgegevens mag alleen plaatsvinden voor dat doel. Ook die doelen moeten in de privacyverklaring worden opgenomen.

Zo kun je bijvoorbeeld op basis van het gerechtvaardigd belang persoonsgegevens verwerken voor direct marketingdoeleinden. Soms kan een grondslag ook samenvallen met een doel. Zo kun je op basis van de grondslag wettelijke verplichting persoonsgegevens verzamelen met als doel te voldoen aan de administratieve bewaarplicht.

Hulp nodig bij de AVG?

About Charlotte Meindersma

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.

Comments

  1. Lara van Zon says:

    Dankjewel Charlotte voor je heldere uiteenzetting!

    Toch vind ik best nog wel lastig om een goede grondslag te vinden voor bijvoorbeeld een zorgorganisatie. Welke grondslag zou jij kiezen voor een zorgorganisatie?
    Ik mis nog wel de uitleg van de grondslag ”uitvoering van de overeenkomst”

    Vriendelijke groet, Lara

    • Dat kan per verwerking verschillen. Een zorginstantie met een behandelovereenkomst zal bijvoorbeeld in elk geval naam, adres en gezondheidsgegevens mogen verwerken op basis van de grondslag uitvoering van de overeenkomst. Hoe zou je immers goed kunnen behandelen zonder te weten wat iemand nodig heeft? In sommige gevallen (afhankelijk van het soort zorg) is voorafgaande toestemming nodig om de gegevens te verwerken. Een nieuwsbrief aan klanten/cliënten versturen zou je eerder op de grondslag gerechtvaardigd belang doen.

  2. Hoi Charlotte,

    Voor mij is het niet helemaal helder.
    Bovenin zet je de 6 grondslagen uiteen, maar vervolgens staat er voor overeenkomst alleen een titel en daaronder ga je verder met Wettelijke Verplichting als subtitel, terwijl dat er ook eentje is van de 6. Volgens mij staat er op deze manier dus geen uitleg bij uitvoering van de overeenkomst.

    Zou je dit nog willen toelichten? Dankjewel!

  3. Hoi Charlotte,

    Duidelijk verhaal.
    Ik hoor echter veel verschillende verhalen of je klanten nou wel of niet mag mailen. Ja, je mag klanten mailen maar volgens de grondslag ‘toestemming’ mag je klanten dan weer niet mailen. En onder grondslag ‘Gerechtvaardigd belang’ dan weer wel. Maar wie bepaalt dat dit gerechtvaardigd is…?

    • Bestaande klanten mag je mailen, zonder dat je daar extra toestemming voor nodig hebt. De voorwaarde is dan wel dat je ze alleen mailt over producten of diensten die in verband staan met de producten of diensten die ze eerder bij je afgenomen hebben. Het verwerken van de persoonsgegevens doe je dan, voor dit doel, op basis van het gerechtvaardigd belang.

      Wat gerechtvaardigd is, is een belangenafweging tussen jouw belang en dat van de persoon waarvan je gegevens verwerkt. Voor een nieuwsbrief zijn dat voor- en misschien achternaam en een e-mailadres. Dat jij die gegevens hebt is geen grote impact op de privacy van de betrokkene.

      Wil je andere mensen mailen, dan mag je soms die gegevens wel verwerken (onder de AVG), maar heb je toch toestemming nodig om contact op te mogen nemen (onder de Telecommunicatiewet).

  4. Pieter says:

    Hoi Charlotte,

    Hoe ga je om als je eerst toestemming hebt verkregen voor het versturen van een nieuwsbrief en dezelfde betrokkenen wordt later klant? Wisselen van grondslag mag niet… Het lijkt me voor de hand liggen dat je dan geen toestemming hoeft te vragen voor het versturen van de factuur per email. Of toch wel? Of is hier de context anders waardoor je wél mag wisselen van grondslag?
    Ben benieuwd naar je reactie.
    Groet,
    Pieter

    • Wisselen van grondslag mag inderdaad niet, maar in beide gevallen moet je ze een opt-out bieden. Dus je kunt gewoon nieuwsbrieven blijven versturen, tot die persoon zich uitschrijft. Voor de factuur heb je de grondslag overeenkomst met het doel de factuur te kunnen versturen. Dan wissel je dus niet, maar komt er voor een ander doel ook een nieuwe grondslag, waar je (toevallig) dezelfde gegevens voor verwerkt. Het kan zijn dat de grondslag op basis waarvan je nieuwsbrieven verzond op een gegeven moment komt te vervallen, vanwege de opt-out, maar dat je het e-mailadres blijft bewaren voor weer je wettelijke grondslag (administratieplicht). Het kan dus wel zo zijn dat je dezelfde gegevens voor meerdere grondslagen gebruikt, maar je mag niet voor hetzelfde gebruik/doel van grondslag wisselen, omdat dit later opeens beter uitkomt. Je mag dus niet eerst met toestemming een nieuwsbrief versturen en na het intrekken van de toestemming ze alsnog als klant diezelfde nieuwsbrief toesturen.

  5. Daniel says:

    Hi Charlotte,

    Hoe zit dat bij een contactformulier. Ik kan verwijzen naar mijn privacy verklaring om de bezoeker te informeren, maar moet ik voor de verwerking van de contactgegevens : naam, emailadres en vraag, me ook baseren op een grondslag? En op welke grondslag zou dat dan kunnen. Toestemming vragen om deze gegevens te verwerken lijkt me raar en op basis van een overeenkomst zou niet kunnen omdat er (nog) geen overeenkomst is waar ik me op zou moeten baseren.

    Alvast bedankt!
    Groet,
    Daniel

  6. Gerrit Wunderink says:

    Dag Charlotte

    Dank voor je uiteenzetting, maar ik blijf toch nog met enkele vragen zitten.

    We zijn een Stichting zonder winstoogmerk (subsidieafhankelijk) die in een gemeente een netwerk van vrijwilligers voor reanimatie met eventueel gebruik van een AED heeft ingericht en zich ook beperkt tot die gemeente. De vrijwilligers zijn opgenomen in een door de Stichting beheerde NAW ledenadministratie met 06-nummers en emailadres om hen te kunnen oproepen bij een melding voor reanimatie via 112.
    Verder wordt de administratie gebruikt voor bijhouden herhalingscursussen en verzenden nieuwsbrieven en uitnodigen informatieve bijeenkomsten.
    Gedacht werd te kiezen voor ‘toestemming’. Gelet op jou toelichting rondom de problematiek met toestemming is de vraag of ‘Overeenkomst’ hier van toepassing kan zijn.
    Immers met de vrijwillige aanmelding ontstaat een niet afdwingbare overeenkomst om als vrijwilliger te worden opgeroepen om zich naar de locatie van een oproep voor reanimatie met eventueel gebruik AED te begeven en daar reanimatie toe te passen.

    Hoe kijk jij hier tegen aan?

    • Je hebt zeker niet voor alles toestemming nodig. Gerechtvaardigd belang of overeenkomst zullen voor sommig gebruik ook afdoende kunnen zijn. Gebruik verschillende grondslagen voor verschillende doeleinden als dat nodig is.

  7. Anne-Lynn says:

    Hallo Charlotte,

    Wat een fijn artikel! Waarbij ik toch een vraag heb over onder andere het vitale belang.
    Ik ben bezig met een casus ( voor mijn scriptie over de AVG), namelijk een bewindvoerder heeft cliënt X onder bewind staan. Cliënt X is erg overspannen/Burn-Out en heeft extreme angst opgebouwd voor haar Ex. Ze is bang dat hij achter haar gegevens komt en weet waar ze woont. Cliënt X moet voor behandeling aangemeld worden bij GGZ (geestelijke gezondheidszorg). Hiervoor moet haar bewindvoerder gegevens doorgeven aan GGZ, alleen wilt cliënt X dit niet, i.v.m. achterdochtig voor agressieve ex. Bestaat er een grondslag dat dit toch kan? in eerste instantie dacht ik vitale belang, maar door het lezen van het artikel zie ik staan dat dit niet snel wordt uitgevoerd.

    Zou jij mij willen helpen?

    Alvast bedankt!

    Groeten,
    Anne-Lynn

    • Er zal geen behandeling plaats kunnen vinden als de GGZ niet weet wie ze moeten behandelen. Dus als het niet via de bewindvoerder komt, zal het via de persoon zelf moeten komen, anders kan er nooit behandeling plaatsvinden (en niet op een wachtlijst etc.)
      Waarom een ex opeens aan gegevens zou komen als de GGZ ze heeft begrijp ik overigens niet. Ook de GGZ moet zorgvuldig met die gegevens omgaan. Kan die ex beter de computer of social media accounts proberen te hacken etc. Beetje omslachtig om dat via de GGZ te willen doen.

  8. Karin Komin says:

    Hoi Charlotte,

    Ik ben massagetherapeut. Met hulp van de beroepsvereniging en eigen onderzoek ben ik al aardig op weg om aan de AVG te voldoen. Ik ontvang vaak via email een aanvraag voor een behandeling binnen. Ik wil dat email adres dan gebruiken om een intake formulier (gepseudonimiseerd 😉 want medische informatie) te mailen. Moet ik dan éérst toestemming moet gaan vragen om het email adres van dat doel te gebruiken? Het spreekt toch voor zich!… Valt dit misschien onder gerechtvaardigd belang?
    Op het intake formulier geef ik uiteraard info over privacy met verwijzing naar privacyverklaring op m’n website.
    Het gaat mij dus even om deze tussenstap van toestemming krijgen/aantonen.

    Dank alvast voor je reactie.

    Met vriendelijke groet,
    Karin

    • Een e-mailadres moet je kunnen gebruiken om ze te mogen e-mailen. Als je van je potentiële cliënt al een e-mailadres krijgt is het inderdaad jouw gerechtvaardigd belang om contact met ze op te nemen via dat kanaal. Je het vooral toestemming nodig voor de medische- en gezondheidsgegevens. Als die in een formulier vrijwillig worden ingevuld, dan is dat natuurlijk al wel een vorm van toestemming, vooral wanneer ze vooraf de privacyverklaring te zien hebben gekregen.

      • Karin says:

        Dank je Charlotte. Weer een stap vooruit. Is het toch nog aardig werkbaar in het eerste contact met mijn cliënten. Met vriendelijke groet, Karin

  9. Peter Laman says:

    Een kleine, lokale kerk heeft officiële leden, vaste bezoekers (die zich nooit als lid hebben ingeschreven) en incidentele bezoekers van kerkdiensten. Bovendien heeft de kerk een website, waarop een adreslijst van betrokkenen te zien is, mits gebruikers zich hebben aangemeld en bevoegd zich die adreslijst op te vragen. Technisch gezien is alles qua beveiliging up-to-date.

    1. Kunnen deze persoonsgegevens op basis van gerechtvaardigd belang, of doelbinding verzameld worden?
    2. Is er expliciet toestemming nodig voor opname in de adreslijst?
    3. is er expliciet toestemming nodig voor vermelding van personen in planningen, agenda’s en notulen van vergaderingen en andere werkingsdocumenten van de kerk?
    4. Moeten de verschillende categorieën van betrokkenen ook in de statuten gedefinieerd zijn?

  10. Astrid says:

    Hallo Charlotte,

    Wat fijn dat je onzekerheden omtrent de AVG zo helder weet uit te leggen, enorm bedankt hiervoor.
    Ik heb nog wel een vraag over de grondslagen.

    Zelf ben ik werkzaam als zzp’er (animator/illustrator) en vaak werk ik samen met andere zzp’ers of studio’s. Als ik dan bijv. het eindresultaat online zet in de vorm van een filmpje, is het niet meer dan logisch en vooral netjes om ergens in tekst de juiste credits te vermelden. Bijv ik heb de animatie gemaakt, maar persoon A heeft illustraties geleverd en persoon B de muziek.
    Dat ik deze credits online vermeld, kunnen deze personen heus wel verwachten, maar als ik het goed begrijp moet ik alsnog wel deze vermelding van (bedrijfs)naam kunnen rechtvaardigen in de privacyverklaring. Op welke grondslag moet ik dit dan baseren?

  11. Peter Laman says:

    In de nieuwe voorwaarden van WhatsApp staat: “U verstrekt ons, in overeenstemming met de toepasselijke wetgeving, regelmatig de telefoonnummers in het adresboek van uw mobiele telefoon, waaronder van zowel de gebruikers van onze Diensten als uw andere contacten.”

    Mag dat, voor die ‘andere contacten’?
    -De gebruikers van hun diensten vallen onder hun privacyverklaring, dus dat lijkt me ok, maar
    -Ze verzamelen ook niet-WA gebruikers. Daarvoor is toch geen van de zes mogelijke grondslagen van toepassing? Er is ook geen doelbinding, want het doel is de chatservice.

  12. Hoi Charlotte,

    X bedrijf biedt support aan zijn klanten door langs te gaan en in te loggen op hun interne systemen om het probleem op te lossen in hun systemen. Natuurlijk met inloggen komt die allerlei gegevens tegen van anderen, omdat user profiel administrator is en toegang heeft op persoonlijke gegevens.
    Welke grondslag zou hier van toepassing zijn? ik dacht aan de grondslag gerechtvaardigd belang

    • Dit klinkt eerder alsof bedrijf X een verwerker is. Dat is het geval wanneer X de persoonsgegeven ten behoeve en volgens de instructies van zijn klanten (de verwerkingsverantwoordelijke) verwerkt en die gegevens niet nog voor eigen doeleinden gebruikt.
      De verwerkingsverantwoordelijke (de klant) is dan degene die de doeleinden bepaalt en een grondslag moet hebben. Er moet in dat geval tussen bedrijf X en zijn klanten natuurlijk wel een verwerkersovereenkomst gesloten zijn.

      • Bedankt voor het antwoord.

        Hoe zit de situatie wanneer je met een 3de partij samenwerkt Bedrijf S?
        Bijvoorbeeld: Bedrijf X= ICT-dienstverlener / Bedrijf S= Leverancier (Microsoft)
        Klant = verwerkingsverantwoordelijke
        Bedrijf X= Verwerk zoals u aan geeft.

        Wat verandert aan de situatie?

        Zou je een verwerkovereenkomst met 3 partijen kunnen aansluiten?

Trackbacks

  1. […] Voor verdere uitleg over en uitwerking van de AVG verwijs ik je graag naar de volgende pagina’s van Charlotte Meindersma: AVG voor fotografen: https://www.charlotteslaw.nl/2018/02/privacy-avg-fotografen/ 6 grondslagen van de AVG: https://www.charlotteslaw.nl/2018/04/de-6-grondslagen-van-de-avg/ […]

Speak Your Mind

*