Verwerkingsverantwoordelijken moeten een beroep doen op een „grondslag” om persoonsgegevens rechtmatig te kunnen verwerken. Het is van essentieel belang om de juiste grondslag vast te stellen, aangezien deze specifieke eisen met zich meebrengt (bv. toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn) en daarnaast hebben deze gevolgen voor de rechten van personen (bv. het recht op dataportabiliteit is alleen van toepassing wanneer de grondslag toestemming of een overeenkomst is).
Op deze pagina vind je meer informatie over de verschillende gronden uit de AVG. Lees meer over de rechten die van toepassing zijn per grondslag.
Wat zijn de mogelijke grondslagen uit de AVG?
Verwerkingsverantwoordelijken kunnen persoonsgegevens alleen verwerken in een van de volgende omstandigheden:
- met toestemming van de betrokken personen;
- wanneer er sprake is van een contractuele verplichting (een overeenkomst tussen je organisatie en een individu);
- om te voldoen aan een wettelijke verplichting uit hoofde van EU- of nationale wetgeving;
- wanneer verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang die voortkomt uit EU- of nationale wetgeving;
- het beschermen van de vitale belangen van een individu;
- voor de gerechtvaardigde belangen van je organisatie (behalve als deze worden overschreden door de belangen of grondrechten van individuen).
Daarnaast stelt de AVG aanvullende voorwaarden vast voor de verwerking van bijzondere persoonsgegevens.
Toestemming
Je organisatie kan besluiten een beroep te doen op toestemming voor de verwerking van persoonsgegevens.
Als een verwerkingsverantwoordelijke toestemming gebruikt als grondslag voor de verwerking van persoonsgegevens, moet die ervoor zorgen dat deze toestemming vrijelijk, geïnformeerd, specifiek en ondubbelzinnig wordt gegeven. Dit betekent dat personen een werkelijk vrije keuze moeten hebben met betrekking tot het al dan niet eens zijn met de verwerking van hun persoonsgegevens; zij hebben voldoende informatie nodig om te kunnen begrijpen welke gegevens worden verwerkt, voor welk doel en hoe dit gebeurt; en ze moeten hun toestemming vrijelijk kunnen intrekken (zonder negatieve gevolgen) als ze later van gedachten veranderen.
Als de organisatie de gegevens moet verwerken en personen niet echt in staat kan stellen hun toestemming in te trekken, is dit een aanwijzing dat toestemming niet de juiste grondslag voor de verwerking is, dan moet er worden gekeken of een andere grondslag van toepassing is.
Voorwaarden voor toestemming
Vrijelijk
Toestemming wordt vrijelijk gegeven wanneer individuen toestemming kunnen weigeren én intrekken zonder risico van externe druk of negatieve gevolgen. Personen moeten ook het recht hebben om hun toestemming te allen tijde in te trekken; dit proces moet eenvoudig worden gemaakt voor individuen om te doen (net zo eenvoudig als het was om toestemming te geven). Het intrekken van de toestemming mag geen invloed hebben op de verwerking van de persoonsgegevens van de persoon die vóór deze intrekking plaatsvond, toen de toestemming nog steeds geldig was.
Werknemers zijn bijvoorbeeld in principe niet in staat om vrijelijk toestemming te geven voor de verwerking van hun persoonsgegevens door hun werkgever, aangezien werknemers het gevoel kunnen hebben dat ze het verzoek van hun werkgever niet kunnen weigeren.
Specifiek
Om geldig te zijn, moet de toestemming ook specifiek zijn voor het verwerkingsdoel. Deze voorwaarde hangt nauw samen met de voorwaarde van geïnformeerde toestemming: personen moeten op de hoogte worden gebracht van de specifieke doeleinden in een duidelijke en gemakkelijk te begrijpen taal, zodat zij een duidelijk idee hebben voor welke doeleinden hun gegevens worden verwerkt. Dit betekent ook dat als de doeleinden van de verwerking veranderen of aanvullende verwerkingen worden toegevoegd, personen opnieuw om hun toestemming moeten worden gevraagd. Evenzo, als een verwerking meerdere doeleinden heeft, moet voor elk van hen toestemming worden gegeven.
Een streamingdienst verzamelt bijvoorbeeld de persoonlijke gegevens van hun klanten om ze op maat gemaakte kijksuggesties aan te bieden. Na enige tijd besluit de streamingdienst om de persoonlijke gegevens van hun klanten te delen met derden, zodat ze gerichte advertenties naar de klanten kunnen sturen op basis van hun kijkgedrag. Omdat dit een nieuw doel is, zal de streamingdienst om toestemming van hun klant moeten vragen.
Geïnformeerd
Bij het vragen van toestemming van een persoon moet je organisatie ervoor zorgen dat dit verzoek in een begrijpelijke en gemakkelijk toegankelijke vorm aan de betrokkene wordt meegedeeld, in duidelijke en eenvoudige taal. Er moet informatie worden verstrekt over de doeleinden, de identiteit van de verwerkingsverantwoordelijke, de categorieën gegevens, de ontvangers en het recht om toestemming in te trekken.
Eenduidig
Om ondubbelzinnig toestemming te geven, moet er sprake zijn van een actieve handeling (zonder vooraf aangevinkte vakjes en los van de toepasselijke algemene voorwaarden).
Het wordt aanbevolen om de toestemming met passende tussenpozen te vernieuwen. Bovendien moet je kunnen aantonen dat de persoon van wie de gegevens worden verwerkt, zijn toestemming heeft gegeven, bijvoorbeeld door middel van een schriftelijke of ondertekende verklaring, of door een opzettelijke handeling zoals het aanvinken van een vakje.
Voorwaarden die van toepassing zijn op toestemming door kinderen
Als verwerkingsverantwoordelijke moet je redelijke inspanningen leveren om de leeftijd van het individu te controleren.
Kinderen van 16 jaar en ouder worden geacht zelf toestemming te kunnen geven.
Voor kinderen jonger dan 16 jaar moet je organisatie toestemming vragen aan de wettelijke voogd of ouder van dat kind. In dit geval moet je redelijke inspanningen leveren om te controleren of de persoon die namens het kind toestemming geeft, de ouderlijke verantwoordelijkheid draagt. Houd er echter rekening mee dat de AVG EU-landen de mogelijkheid biedt om, door middel van nationale wetgeving, de leeftijd van toestemming vast te stellen tussen 13 en 16, wanneer diensten via internet worden verleend. Daarom is het raadzaam om de nationale regelgeving op dit gebied te controleren.
Wanneer kinderen toestemming kunnen geven, moet de taal die wordt gebruikt om de informatie met betrekking tot de dienst mee te delen, worden aangepast aan hun leeftijd.
Uitvoering van een overeenkomst
De verwerking van persoonsgegevens voor de uitvoering van een overeenkomst is een geldige rechtsgrondslag, bijvoorbeeld in de volgende gevallen:
- Je organisatie moet de persoonsgegevens van een persoon verwerken om een dienst te verlenen.
- Een potentiële klant of klant heeft jou gevraagd om iets te doen voordat je een overeenkomst met je organisatie aangaat, zij willen bijvoorbeeld een offerte ontvangen voor de diensten die je levert, waarvoor jij mogelijk een aantal van hun persoonsgegevens moet verwerken.
De verwerking moet noodzakelijk zijn voor de uitvoering van een overeenkomst. In de praktijk betekent dit dat je organisatie niet kan doorgaan met de uitvoering van de overeenkomst of de dienst zonder de persoonsgegevens in kwestie. Het wordt aanbevolen dat je organisatie de redenen documenteert waarom de verwerking van de gegevens van een persoon noodzakelijk is voor de uitvoering van de overeenkomst.
Daarnaast moet je proberen de minimale hoeveelheid persoonsgegevens te verzamelen die nodig zijn voor de uitvoering van de overeenkomst of voor het nemen van relevante stappen in de fase voordat een overeenkomst is gesloten. In het bijzonder kun je de overeenkomst niet gebruiken om de categorieën persoonsgegevens of soorten verwerkingen kunstmatig uit te breiden. In plaats daarvan moet je ervoor zorgen dat er een echt wederzijds begrip is van het doel van de overeenkomst, op basis van de verwachtingen van een gemiddelde persoon bij het aangaan van een overeenkomst.
Deze grondslag kan ook van toepassing zijn op bepaalde acties in verband met contractuele garantie en op bepaalde handelingen die redelijkerwijs kunnen worden voorzien en noodzakelijk zijn binnen een reguliere contractuele relatie, zoals het verzenden van formele herinneringen over openstaande betalingen of het herstellen van fouten of vertragingen in de uitvoering van de overeenkomst.
Deze grondslag is echter niet van toepassing als jij de persoonsgegevens van een persoon wil verwerken voor marketingdoeleinden, fraudepreventie, gerichte reclame of andere doeleinden die verband houden met het bedrijfsmodel van je organisatie. In dergelijke gevallen zijn andere grondslagen mogelijk beschikbaar, zoals toestemming of gerechtvaardigd belang, mits aan de geldende vereisten is voldaan.
Wetgeving kan ook de verwerking van persoonsgegevens opleggen, zelfs na de beëindiging van de overeenkomst (bijvoorbeeld om gegevens bij te houden voor boekhoudkundige doeleinden).
Uiteraard moet de overeenkomst ook geldig zijn onder het toepasselijke recht.
In de praktijk
- Je bent een bedrijf dat kleding verkoopt, zowel online als in een winkel, dan moet jij mogelijk persoonlijke gegevens van je klanten verwerken, zoals creditcardgegevens, om de aankopen van je klanten voor je kleding te kunnen verwerken. In dat geval kan de verwerking van de persoonsgegevens van klanten noodzakelijk zijn voor de uitvoering van een overeenkomst.
- Je bent een bedrijf dat een woonverzekering aanbiedt. Een potentiële klant heeft een offerte gevraagd voor een woonverzekering. Als zodanig kunnen sommige van hun persoonlijke gegevens nodig zijn om hen te voorzien van een nauwkeurige prijs voor hun woonverzekering.
- Je bent een bedrijf dat boeken verkoopt, die sommige van je klanten hebben gekocht. Wanneer deze klanten deze boeken hebben gekocht, heb je mogelijk een deel van hun persoonlijke gegevens verzameld, die nodig waren om de transactie te verwerken. Je wil nu de persoonlijke gegevens van deze klanten verwerken, inclusief gegevens over hun eerdere aankopen, om andere boeken aan te bevelen die ze misschien leuk vinden. Je kunt geen beroep doen op de verwerking van persoonsgegevens voor de uitvoering van een overeenkomst als rechtsgrondslag, omdat de verwerking van de gegevens van klanten met het oog op het adverteren van andere boeken niet noodzakelijk is voor de uitvoering van een overeenkomst.
Als zodanig zal je bedrijf de toestemming van klanten moeten vragen om andere boeken aan hen te kunnen adverteren of, afhankelijk van de omstandigheden, een beroep kunnen doen op de grondslag gerechtvaardigd belang.
Naleving van wettelijke verplichtingen door de verwerkingsverantwoordelijke
De AVG vermeldt nog een andere grondslag: het is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke is onderworpen.
Op deze rechtsgrondslag kan een beroep worden gedaan wanneer een verwerking op grond van EU- of nationale wetgeving aan een organisatie wordt opgelegd. Hiervoor moet aan vier voorwaarden worden voldaan:
- de wettelijke verplichting moet worden vastgesteld in het EU- of nationale recht waaraan de verwerkingsverantwoordelijke is onderworpen;
- deze wettelijke bepalingen moeten een duidelijke en specifieke verplichting impliceren om die persoonsgegevens te verwerken;
- in deze bepalingen moeten ten minste de doeleinden van de verwerking worden omschreven;
- deze verplichting moet worden opgelegd aan de verwerkingsverantwoordelijke en niet aan de betrokkenen.
Indien niet aan deze voorwaarden wordt voldaan, kan de verwerking niet worden gebaseerd op de wettelijke verplichting en moet een andere grondslag worden gebruikt.
De AVG voorziet in veel verschillende omstandigheden waarin verwerkingsverantwoordelijken wettelijk verplicht zijn om persoonsgegevens van hun klanten of klanten te verwerken. Werkgevers moeten bijvoorbeeld meestal de persoonsgegevens van hun werknemers verwerken voor sociale-zekerheidsdoeleinden, of een bedrijf moet vaak de persoonsgegevens van hun klanten of klanten voor belastingdoeleinden verwerken.
Lees meer
Vitale belangen van een individu
De verwerking van gegevens ter bescherming van de vitale belangen van een individu kan alleen in zeldzame en specifieke gevallen worden gebruikt. Dit kan bijvoorbeeld het geval zijn als jij persoonsgegevens moet verwerken om iemands leven te beschermen. Op basis van de AVG is deze rechtsgrondslag echter zeer beperkt van toepassing en kan alleen in noodsituaties worden ingeroepen.
In de praktijk
Je organisatie organiseert hardloopwedstrijden. Tijdens een van de door jou georganiseerde wedstrijden raakt een van de deelnemers ernstig gewond. Hierdoor is de deelnemer bewusteloos en moet dringend medische zorg krijgen in een ziekenhuis. Als organisatie moet jij mogelijk de persoonlijke gegevens van die persoon communiceren (= verwerken) aan het ziekenhuis dat diegene moet behandelen om het leven van die persoon te redden. In dit verband kun jij mogelijk de gegevens van deze persoon verwerken om hun vitale belangen te beschermen.
Algemeen belang
In sommige specifieke gevallen kan je organisatie persoonsgegevens van personen verwerken voor een taak van algemeen belang of voor de uitoefening van openbaar gezag. In dit geval moet de taak een basis hebben in EU- of nationale wetgeving. Het doel van de verwerking moet in die grondslag worden bepaald of noodzakelijk zijn voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag van de verwerkingsverantwoordelijke. Daarom kan deze grondslag met name relevant zijn voor verwerkingen door overheidsinstanties met het oog op de uitvoering van hun taken.
In de praktijk
Je organisatie is een medische praktijk, waaronder een tandarts en een huisarts. Mogelijk moet jij de persoonlijke gegevens van de tandarts en de huisarts verwerken om ervoor te zorgen dat hun kwalificaties en hun moreel-ethische verklaring voldoen aan de normen die zijn vastgesteld in het land waar je medische praktijk zich bevindt.
Gerechtvaardigd belang
Je organisatie kan de gegevens van personen verwerken voor zaken van gerechtvaardigd belang, op voorwaarde dat deze belangen (commercieel, beschermen van uw eigendom, enz.) zijn afgewogen tegen de rechten en belangen van betrokkenen.
Hoewel de AVG en de relevante jurisprudentie van het Hof van Justitie van de Europese Unie (HvJ-EU) voorbeelden van legitieme belangen bevatten, is er geen uitputtende lijst.
U moet er echter voor zorgen dat dit belang een aantal vereisten eerbiedigt:
- het moet wettig, duidelijk, reëel en aanwezig zijn;
- de verwerking moet noodzakelijk zijn om dit belang na te streven;
- in het gerechtvaardigde belang moet rekening worden gehouden met de rechten van de betrokkene op gegevensbescherming, die niet kunnen worden overschreden. In het kader van dit vereiste moet de verwerkingsverantwoordelijke zijn gerechtvaardigd belang en de belangen of fundamentele rechten en vrijheden van betrokkenen afwegen en ook rekening houden met wat die redelijkerwijs mogen verwachten. Deze afweging moet plaatsvinden in het licht van de concrete omstandigheden waaronder deze verrichtingen worden uitgevoerd.
In de praktijk
Je runt een renovatiebedrijf. Een van je klanten betwist de kwaliteit van een keukenrenovatie en weigert de factuur volledig te betalen. Als eerste stap geef je de gegevens van de klant door aan je advocaat om te onderhandelen over een schikking met de klant. Aangezien de klant nog steeds weigert te betalen, schakel je een incassobureau in. Je geeft alleen de persoonsgegevens die nodig zijn voor de procedure door aan het incassobureau en het bureau voert slechts beperkte controles uit om de contactgegevens van de klant te bevestigen en om een gerechtelijke procedure te starten.
Hoewel de eerste stap nog kan vallen onder de verwerking die nodig is voor de uitvoering van een contract, kunnen verdere stappen, zoals de inschakeling van een incassobureau, worden beschouwd als in het legitieme belang van de verwerkingsverantwoordelijke. Aangezien de handelingen van het incassobereau niet al te opdringerig zijn en de impact op de klant beperkt is, kan een gerechtvaardigd belang een passende grondslag zijn.
Verwerking van bijzondere persoonsgegevens
Aanvullende vereisten zijn van toepassing als je van plan bent persoonsgegevens te verwerken waaruit etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap blijken, en de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over het seksuele leven of seksuele geaardheid van een natuurlijke persoon. Deze bijzondere categorieën van gegevens worden gewoonlijk aangeduid als „bijzondere persoonsgegevens”.
De verwerking van bijzondere persoonsgegevens is over het algemeen verboden, behalve in de volgende specifieke gevallen:
- De betrokkene heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn bijzondere persoonsgegevens.
- De verwerking van bijzondere persoonsgegevens is noodzakelijk voor de verwerkingsverantwoordelijke om zijn verplichtingen na te komen, met name in het kader van werkgelegenheid, sociale zekerheid en sociale bescherming. De verwerkingsverantwoordelijke zou bijvoorbeeld de bijzondere persoonsgegevens van een persoon moeten verwerken om te kunnen bepalen of die recht heeft op bepaalde socialezekerheidsuitkeringen of arbeidstoelagen.
- De verwerking van gevoelige gegevens is noodzakelijk om de vitale belangen van een persoon te beschermen wanneer de persoon fysiek of wettelijk niet in staat is toestemming te geven. Als een persoon bijvoorbeeld bewusteloos is als gevolg van een ongeval en onmiddellijke medische zorg nodig heeft, moeten diens bijzondere persoonsgegevens mogelijk worden verwerkt om de juiste medische zorg te kunnen verlenen.
- De verwerking van bijzondere persoonsgegevens vindt plaats in het kader van de legitieme activiteiten van een stichting, vereniging of andere non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel, en uitsluitend voor de verwerking van de persoonsgegevens van hun leden, voormalige leden of personen die regelmatig contact met hen hebben.
- De bijzondere persoonsgegevens zijn duidelijk openbaar gemaakt door individuen.
- De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van gerechtelijke procedures.
- De verwerking van bijzondere persoonsgegevens is noodzakelijk voor aangelegenheden van aanzienlijk algemeen belang.
- De verwerking van bijzondere persoonsgegevens is noodzakelijk in het kader van arbeidsomstandigheden. Bijvoorbeeld, het beoordelen van de bijzondere persoonsgegevens van een individu, zoals hun medische gegevens, kan nodig zijn om hun werkcapaciteit als werknemer te bepalen.
- De verwerking van bijzondere persoonsgegevens is noodzakelijk voor volksgezondheidsaangelegenheden op basis van EU- of nationale wetgeving. De verwerking van bijzondere persoonsgegevens kan bijvoorbeeld nodig zijn om een hoge kwaliteit van de gezondheidszorg en een hoge kwaliteit van medische producten te waarborgen, of om ernstige bedreigingen voor de gezondheid, zoals virussen, te bestrijden.
- De verwerking van bijzondere persoonsgegevens is noodzakelijk voor archiveringsdoeleinden in het algemeen belang of voor wetenschappelijke, statistische, historische of onderzoeksdoeleinden. De verwerking van bijzondere persoonsgegevens kan bijvoorbeeld nodig zijn om nauwkeurige statistieken te verstrekken over de situatie van een land in bepaald gebied.
Checklist voor de verwerking van bijzondere persoonsgegevens
- Vraag jezelf af of je de bijzondere categorieën persoonsgegevens moet verwerken voor de beoogde verwerking.
- Identificeer de grondslag (= wettelijke rechtvaardiging) voor de verwerking van de persoonsgegevens. Je dient te verwijzen naar artikel 6 AVG.
- Ga na of de aanvullende voorwaarden voor de verwerking van bijzondere persoonsgegevens worden nageleefd. Je dient te verwijzen naar artikel 9 van de AVG.
- Identificeer de risico’s en gegevensbeschermingwaarborgen, zoals de technische en organisatorische maatregelen, die je organisatie mogelijk moet nemen bij de verwerking van bijzondere categorieën persoonsgegevens.
- Vergeet niet een register bij te houden van uw redenen voor de verwerking van de bijzondere categorieën persoonsgegevens, van de risico’s die dit met zich meebrengt en van de maatregelen die je hebt genomen om die risico’s te beperken.