Om persoonsgegevens te verwerken heb je een goede reden nodig. De juridische term hiervoor is een grondslag. In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens. In deze blog leggen we deze grondslagen kort uit.
De grondslagen
- Je hebt toestemming van de persoon om wie het gaat.
Hiervoor geldt een hoge drempel. De toestemming moet vrijelijk gegeven, ondubbelzinnig (door een duidelijke actieve handeling), geïnformeerd en specifiek (voor een specifieke verwerking en een specifiek doel) zijn. Lees ook onze blog hierover.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben. Je moet goed kunnen onderbouwen waarom het verwerken noodzakelijk is om de overeenkomst uit te voeren.
- Het is noodzakelijk om gegevens te verwerken omdat je dit wettelijk verplicht bent.
Bijvoorbeeld als je een bevel hebt van de politie om gegevens aan hen te verstrekken, of als je gegevens verstrekt voor de uitvoering van belastingwetgeving. Het hoeft niet expliciet in de wet te staan, soms is die namelijk ruimer geformuleerd. Je kan het niet op deze grondslag baseren als het gaat om een hele algemene taak. Je moet goed kunnen onderbouwen waarom het verwerken noodzakelijk is om aan de verplichting te voldoen.
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
Vitale belangen zijn belangen essentieel voor iemands leven of gezondheid. Het gaat om gevallen waarin de persoon die in gevaar is niet om toestemming gevraagd kan worden. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven. Deze grond is zelden van toepassing.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
Deze grondslag kan alleen van toepassing zijn wanneer je een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor jouw organisatie.
- Het is noodzakelijk om gegevens te verwerken om jouw gerechtvaardigde belang te behartigen.
Je moet een gerechtvaardigd belang hebben, de verwerking moet noodzakelijk zijn voor de behartiging van dit belang, en de rechten en vrijheden van de betrokken individuen moeten niet zwaarder wegen dan jouw belang. Je moet hiervoor een afweging maken. Hierin moeten onder andere de gevolgen voor de betrokkenen meegenomen worden, en de maatregelen die zijn genomen om ongewenste gevolgen te voorkomen.
Voor bedrijven
In je privacy policy moet je vermelden op basis van welke grondslag(en) je gegevens verwerkt.
Voor verreweg de meeste bedrijven zijn met name de grondslag toestemming, noodzakelijkheid voor uitvoering overeenkomst, en gerechtvaardigd belang relevant.
Gerechtvaardigd belang is van de grondslagen het meest flexibel, maar ook die is zeker wel begrensd, en daar is onze Autoriteit Persoonsgegevens relatief strikt in: volgens hen is een zuiver commercieel belang, of winstmaximalisatie, geen gerechtvaardigd belang. Lees ook onze blog daarover.