Zes grondslagen voor het verwerken van persoonsgegevens
De Algemene Verordening Gegevensbescherming (AVG) biedt zes grondslagen voor het verwerken van persoonsgegevens.
Zes wettelijke grondslag
Om persoonsgegevens te mogen verwerken dien je daarvoor een wettelijke grondslag te hebben. De Algemene verordening gegevensbescherming (AVG) kent hiervoor zes verschillende grondslagen. Je bent als verwerkingsverantwoordelijke zelf verantwoordelijk om vast te stellen op welke van deze grondslagen je een verwerking kunt baseren.
Zoals gezegd biedt de AVG 6 grondslagen voor het verwerken van persoonsgegevens. Ik noem ze hieronder voor je op:
De grondslagen op een rijtje
1. Heb je toestemming? Toestemming is wellicht de meest bekende grondslag maar vaak niet de beste.
2. Is de verwerking noodzakelijk voor de uitvoering van een overeenkomst? Je mag een verwerking op deze grondslag baseren als je een overeenkomst hebt met een partij en het verwerken van persoonsgegevens noodzakelijk echt is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.
3. Is de verwerking noodzakelijk voor het nakomen van een wettelijke verplichting? De verwerking van de persoonsgegevens is hierbij noodzakelijk om aan een wettelijke verplichting te voldoen, zoals bijvoorbeeld het verstreken van gegevens voor de uitvoering van de belastingwet.
4. Is de verweking noodzakelijk ter bescherming van de vitale belangen? Van een vitaal belang is sprake wanneer het gaat over een belang dat essentieel is voor iemands leven of gezondheid en je die persoon niet om toestemming kunt vragen.
5. Is de verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag? Dit kan alleen wanneer je een publieke taak uitoefent voor het algemeen belang of het openbaar gezag.
6. Is verwerking noodzakelijk voor de behartiging van de gerechtvaardigde belangen? Dit belang moet rechtmatig en voldoende duidelijk verwoord aanwezig zijn. Dat is bijvoorbeeld het geval wanneer een verwerking aantoonbaar noodzakelijk is om een bedrijfsactiviteiten te verrichten zoals het voeren van een personeelsadministratie. Bij deze grondslag dient er tevens gelet te worden op de noodzakelijkheid ervan en dient er een belangenafweging te worden gemaakt.
Toestemming als grondslag voor een verwerking
De verwerking van persoonsgegevens, alléén op basis van toestemming kun je beter vermijden. De verwerking kun je beter baseren op een of meer van de overige grondslagen voor verwerking. Ik zal toelichten waarom.
De eisen die de AVG stelt aan de toestemming zijn opgenomen in art. 4 lid 11 van de AVG:
elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt
Uit dit artikel blijkt dat er slechts sprake is van een rechtsgeldig verleende toestemming wanneer een betrokkene door middel van een verklaring of een specifieke handeling toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Zo’n specifieke handeling kan bijvoorbeeld bestaan uit het aanvinken van een vakje op een webpagina. Hierbij dien je wel het principe van privacy by default en privacy by design te volgen. Art. 7 lid 1 van de AVG legt hierbij de bewijslast van de verkregen toestemming bij de verwerkingsverantwoordelijke.
ALs verwerkingsverantwoordelijke moet je kunnen aantonen dat een betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Tip voor wanneer je de toestemming als grondslag gebruikt. Zorg ervoor dat je kunt aantonen dat je die toestemming op de juiste manier heeft gevraagd en ook hebt gekregen.
Toestemming in vrijheid gegeven
Art. 4 lid 11 AVG geeft aan dat de betrokkene zijn toestemming in vrijheid dient te geven. De overweging bij de AVG geeft voor het principe van een vrije wilsuiting een verdere uitleg. Er kan slechts sprake zijn van een vrije wilsuiting wanneer een betrokkene de door de verwerkingsverantwoordelijke gevraagde toestemming kan weigeren zonder dat hij daarvan op enige wijze nadeel zal ondervinden. Daarvan is in elk geval geen sprake, zo stelt de overweging bij de AVG, wanneer de betrokkene ten opzichte van de verwerkingsverantwoordelijke afhankelijk is of als tussen de betrokkene en de verwerkingsverantwoordelijke een gezagsverhouding bestaat. Bijvoorbeeld in de relatie tussen werknemer en werkgever is de waarde van de toestemming van geringe waarde. Dat is net zo in de relatie tussen een overheidsinstantie en een betrokkene.
Het doel van de verwerking
De toestemming voor verwerking wordt geacht niet te zijn gegeven wanneer een overeenkomst worden aangegaan waarbij toestemming wordt verleend voor een daarvoor niet noodzakelijke verwerking van persoonsgegevens. Stel je voor dat een boek koopt via een webwinkel en hier worden naast je naw gegevens (nodig voor de verzending) nog andere, niet relevante, persoonsgegevens gevraagd, dan zal deze toestemming in beginsel niet rechtsgeldig zijn. Tevens moet het duidelijk zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden. Indien een verwerking meerdere doeleinden heeft, dient er voor elk van die verwekingen specifiek toestemming te worden verleend. Toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zijn opgesteld.
Het intrekken van de toestemming
Op grond van art. 7 lid 3 AVG heeft een betrokkene het recht om een eenmaal verleende toestemming, op ieder moment en zonder opgaaf van redenen, weer in te trekken. Dus ook al is er aantoonbaar sprake van een uit vrije wil verleende toestemming, dan nog is deze grondslag zeer onzeker. Het intrekken van toestemming dient even eenvoudig te zijn als het geven ervan. De betrokkene dient door de verwerkingsverantwoordelijke op dit recht te worden geattendeerd voordat hij de toestemming verleend. Wanneer een verwerking van persoonsgegevens uitsluitend op de toestemming van de betrokkene is gebaseerd dan komt de grondslag voor die verwerking volledig te vervallen op het moment dat de betrokkene zijn toestemming intrekt.
Kinderen jonger dan 16 jaar
Nog een laatste opmerking en wel over de toestemming gegeven door kinderen die jonger zijn dat 16 jaar. De AVG geeft kinderen die jonger zijn dan 16 jaar extra bescherming. Dit op grond van art. 8 lid 1 AVG, Omdat kinderen de risico’s van een gegevensverwerking niet of minder goed kunnen inschatten dienen zij toestemming te hebben van de persoon die de ouderlijke verantwoordelijkheid draagt. Op grond van art. 8 lid 2 AVG is het aan de verwerkingsverantwoordelijke om dit te controleren. Ook dit dient weer aantoonbaar te worden vastgelegd.
Een onzekere basis
Toestemming is een onzekere basis als grondslag voor de verwerking van persoonsgegevens. Het verdient de voorkeur om verwerking van persoonsgegevens, alléén op basis van toestemming, te vermijden. De verwerking van persoonsgegevens wordt bij voorkeur gebaseerd op een of meer van de overige grondslagen voor verwerking.