Grondslagen in de AVG

Ronduit Recht
De AVG geeft een aantal grondslagen op basis waarvan je persoonsgegevens mag verwerken. Welke dit zijn en hoe dit werkt lees je hier.

Je mag persoonsgegevens alleen verwerken als je daar de juiste grondslag voor hebt. Deze grondslagen zijn vastgelegd in de AVG. Je hebt 6 keuzes, of eigenlijk 4, want de laatste 2 zijn zelden van toepassing.

Het lijkt misschien ingewikkeld, maar dat is het echt niet. Valt jouw verwerking van persoonsgegevens niet onder één van de opties, dan mag je de gegevens niet verwerken. Je verwerkt dus alleen gegevens als je daar een grond voor hebt. De grondslagen vormen ook de basis van je privacyverklaring, waarin je per verwerkingsdoel moet aangeven wat de grondslag is. Je MOET dus een grondslag kiezen per verwerking.

In deze blog leg ik uit welke grondslagen je hebt om uit te kiezen.

Toestemming

Je mag persoonsgegevens verwerken als je daar toestemming voor hebt van de persoon van wie je de gegevens verwerkt. Dit is één van de beste grondslagen om gegevens te verwerken. Je weet dan namelijk zeker dat de persoon van wie je gegevens verwerkt ook daadwerkelijk wil dat jij zijn gegevens hebt. En dat is waar de hele AVG om gaat: dat betrokkenen altijd weten waar hun gegevens zijn en altijd inspraak hebben over wat er met hun gegevens gebeurt.

Voor een geldige toestemming moet je ervoor zorgen dat deze vrijwillig is gegeven. Er mogen dus geen consequenties vastzitten aan het niet geven van toestemming. Een goed voorbeeld zijn cookies. Je mag niet zeggen dat iemand je website niet opkomt als hij of zijn geen toestemming geeft voor het plaatsen van cookies. Je hebt dan namelijk geen keuze als websitebezoeker, je wil immers graag die website bekijken. Er is dan geen sprake van vrijwillige toestemming als dat bezoek alleen maar kan als je akkoord gaat.
De toestemming moet ook uitdrukkelijk zijn gegeven. Dit kan bijvoorbeeld door middel van vinkjes zetten. Je mag dan niet alvast het vinkje hebben aangezet; deze moet echt actief worden aangevinkt door de betrokkene.

Uitvoering overeenkomst

Bij de uitvoering van je werkzaamheden voor je klant, kom je al gauw persoonsgegevens tegen. Als je de overeenkomst niet kan uitvoeren zonder die persoonsgegevens, dan is de overeenkomst zelf je grondslag om ze te mogen verwerken. Je kan dan immers niet anders en jouw klant wil ook dat jij dit doet, anders was je niet ingehuurd door je klant. Als jij bijvoorbeeld een webshop runt, dan kun je de spullen niet toesturen zonder een adres te verwerken.
Ook iemand die websites bouwt of een consultant kan tijdens zijn of haar werk persoonsgegevens tegenkomen. Het zou vervelend zijn als hij of zij dan van iedereen apart toestemming zou moeten vragen. Dan kom je niet meer aan je werk toe. Gelukkig is deze grondslag daarom onderdeel van de AVG. Denk hier overigens niet te licht over: het moet wel echt bij de overeenkomst horen en niet alleen als je er heel lang over nadenkt.

De Wet

Soms schrijft de wet voor dat je bepaalde persoonsgegevens moet bewaren. Het duidelijkste voorbeeld is de plicht om een administratie te voeren en deze 7 jaar te bewaren. In jouw administratie zitten altijd wel persoonsgegevens. Als jij dan geen toestemming zou krijgen om die te mogen verwerken, zou je niet aan je wettelijke plicht kunnen voldoen. Gelukkig is de wet zelf dus ook een grondslag.

Gerechtvaardigd eigen belang

Bij deze grondslag moet je goed jouw eigen belang afwegen tegen die van de persoon wiens gegevens jij wil verwerken. Je moet erover nadenken of jouw belang om de betreffende gegevens te verwerken groter is dan het belang van de persoon van wie de gegevens zijn (de privacy). Ga hierbij ook na of jij het zelf zou waarderen als een ander zijn belang boven dat van jou als persoon zou zetten in dezelfde situatie. Deze afweging kun je alleen zelf maken en er is geen algemeen antwoord op wat wel en niet kan. Je moet het natuurlijk wel altijd noemen in je privacyverklaring en als iemand vraagt om zijn gegevens te verwijderen moet je dat ook altijd doen.

Deze grondslag is vooral belangrijk voor acquisitie en je CRM systeem. Als je nog nooit contact hebt gehad met iemand, dan is het natuurlijk lastig toestemming vragen. Denk hier alleen niet te licht over. Je kan niet zomaar zeggen dat je een gerechtvaardigd eigen belang hebt. Je moet echt kunnen laten zien dat het belang van die ander ondergeschikt is aan jouw belang om aan klanten te komen. Hoe “kouder” het contact, hoe moeilijker het voor jou is om te zeggen dat jouw belangen groter zijn. Zet jij de naam van een volger van je bedrijfsaccount op een lijst, dan is jouw eigen belang eerder gerechtvaardigd dan wanneer je iemand toevoegt aan die lijst die nog nooit van jou heeft gehoord.
Probeer trouwens ook in dit geval zo snel mogelijk wel met toestemming te werken. Spreek jij iemand die op je lijstje stond? Vraag dan even om toestemming tijdens dat gesprek om hem of haar in je CRM systeem te zetten.

Vitaal belang

Dit zijn echt extreem acute noodsituaties en deze grondslag is dan ook zelden toepasbaar. Het gaat dan echt om zaken van leven op dood, waarbij er is geen tijd om over de AVG na te denken en/of toestemming te vragen. Als jij dood ligt te bloeden op straat na een ongeval, dan mag een hulpverlener bijvoorbeeld echt wel kijken wie je bent en of er iemand gebeld kan worden. De meeste ondernemers zullen hier (gelukkig!!!) niet mee te maken krijgen.

Een taak van algemeen belang of openbaar gezag

Dit zijn taken van de overheid en de politie. Bijvoorbeeld de ambtenaar die mij anderhalf jaar geleden om mijn ID-kaart vroeg toen ik mijn rijbewijs eindelijk kon aanvragen. Zij vroeg mij niet eerst om toestemming en ik gaf mijn ID-kaart gewoon. Dat is namelijk haar taak, zij mag daarom vragen en de gegevens invoeren in het systeem.
Politie valt hier natuurlijk ook onder. Ook bij deze grondslag geldt dus dat de meeste ondernemers hier weinig tot niks mee te maken zullen hebben.

Kortom:

Je moet je keuze om persoonsgegevens te verwerken altijd baseren op één van deze grondslagen. Zonder grondslag mag je niet verwerken. Denk hier dus goed over na en probeer altijd zoveel mogelijk met toestemming te werken. Toestemming is meestal de beste manier om geoorloofd persoonsgegevens te verwerken.

Vragen? Laat het me weten!