Menu Sluiten

Wanneer je persoonsgegevens mag verwerken

wanneer je persoonsgegevens mag verwerken

In de AVG is vastgelegd wanneer je persoonsgegevens mag verwerken. We gaan het in dit blog alleen hebben over wanneer je persoonsgegevens mag verwerken, niet hoe je de veiligheid van die gegevens moet en kunt waarborgen. Voor het verwerken van persoonsgegevens moet je aan één van de zes grondslagen voldoen:

  1. Toestemming gekregen;
  2. Nodig voor de overeenkomst;
  3. Wettelijk verplicht;
  4. Vitaal belang;
  5. Algemeen belang;
  6. Gerechtvaardigd belang.

Toestemming verkregen

Deze grondslag geldt als je actief toestemming vraagt en akkoord krijgt om persoonsgegevens te verwerken. Je krijgt dan een mogelijkheid om bijvoorbeeld aan te vinken ‘ik ga akkoord met het verwerken van mijn persoonsgegevens voor het versturen van de nieuwsbrief’. Je moet dus ook specifiek vermelden voor welk doel je de persoonsgegevens wilt verwerken. Een algemeen akkoord voor het hele bedrijfsproces of website is niet toegestaan. Bij deze grondslag moet de toestemming uit vrije wil zijn gegeven (dus niet verplicht zijn) en actief worden gegeven. Oftewel, je moet iets aanvinken of op een andere manier akkoord gaan doordat de klant zelf de handeling uitvoert. Het mag niet zo zijn dat een hokje of antwoord al is ingevuld, dat is namelijk passief antwoorden, en niet voldoende voor de AVG.

De aanmelding dien je te bewaren zodat je kunt aantonen dat actief gekozen is voor toestemming voor het verwerken van persoonsgegevens. In de aanmelding moet staan dat voor dit specifieke doel toestemming is gegeven voor het verwerken van persoonsgegevens door die persoon. Voor het geval de Autoriteit Persoonsgegevens ernaar vraagt (de instantie die toezicht en controleert op de uitvoering van de AVG).

Nodig voor de overeenkomst

Het zou knap lastig worden als we op de overeenkomst geen persoonsgegevens meer kunnen vermelden. Je wilt toch graag dat de overeenkomst bij de juiste persoon op het juiste adres aankomt. Je mag dan ook alleen die persoonsgegevens vragen die je nodig hebt voor de overeenkomst. Deze persoonsgegevens mogen niet voor andere doeleinden worden gebruikt. Dan moet je eerst toestemming vragen (schriftelijk, zodat je kunt bewijzen dat je toestemming hebt).

wanneer je persoonsgegevens mag verwerken

Wettelijk belang

De grondslag wettelijke belang geldt alleen indien dit belang blijkt uit de wet. Dat houdt in dat je persoonsgegevens alleen mag verwerken als het noodzakelijk is om aan de uitvoering van de wet te kunnen voldoen. Twijfel je? Vraag dan na uit welke wet en artikel dit blijkt. Een bekende grootverbruiker die persoonsgegevens verwerkt voor de uitvoering van hun wettelijke taken is de belastingdienst.

Vitaal belang

Stel, iemand wordt onwel en is niet aanspreekbaar. Of er is een ongeluk gebeurd en iemand heeft acuut hulp nodig. Dan hoeft een hulpverlener of arts niet eerst toestemming te vragen om de persoonsgegevens in te zien. Het redden van een leven, zorgen dat iemand direct hulp krijgt, heeft dan voorrang. Je kunt immers moeilijk gaan wachten totdat iemand weer aanspreekbaar is, dan overleeft diegene het misschien wel niet. Dus eigenlijk heel logisch dat het dan wel mogelijk is.

Algemeen belang

Het gaat hier over persoonsgegevens die nodig zijn om een taak van algemeen belang uit te voeren of openbaar gezag uit te oefenen. Denk hierbij aan de gemeente waar je geregistreerd staat in de basisregistratie. Gegevens die komen uit het handhaven op de veiligheid door bijvoorbeeld de politie, of door het gebruik van camera’s om een gebied veiliger te maken. Eigenlijk zijn het altijd instellingen/ bedrijven die een taak uitvoeren van de overheid. Denk aan het openbaar ministerie, UWV, politie, gemeente, enzovoort. De persoonsgegevens die ze mogen verwerken komen voort uit het doel, dat in de wet staat. Vraag je een bijstandsuitkering aan, dan worden persoonsgegevens gevraagd omdat dit nodig is om de Participatiewet te kunnen uitvoeren. Maar alleen die persoonsgegevens die noodzakelijk zijn om die specifieke wettelijke taak te kunnen uitvoeren.

Gerechtvaardigd belang

Soms is het lastig en zijn belangen in strijd met elkaar. In de grondwet staat dat een ieder het recht heeft op een persoonlijke levenssfeer, dus dat je zaken privé mag houden. Tenzij in een wet het anders is bepaald. Daarom zijn er ook regels om iedereen te beschermen tegen het zomaar gebruiken van persoonlijke informatie. Maar bedrijven hebben ook een belang, want zonder gegevens kan het heel lastig zijn om je bedrijf voor te zetten. Een gerechtvaardigd belang is als het belang van het bedrijf vele malen groter is dan het belang van een persoon om zijn persoonsgegevens privé te houden, dan mogen noodzakelijke persoonsgegevens worden verwerkt. In de praktijk blijkt die afweging nog best lastig en ingewikkeld te zijn. De Autoriteit Persoonsgegevens heeft daarom een normuitleg gerechtvaardigd belang opgesteld. We komen hier in een ander blog nog een keer uitgebreid op terug.

Vastleggen

Nu ben je er misschien in de tussentijd achter gekomen dat je persoonsgegevens kunt gebruiken om dat je aan één of meerdere grondslagen voldoet. Maar het er alleen aan voldoen is niet voldoende. Je zult voor ieder doel dat je persoonsgegevens verwerkt dit in je privacyverklaring moeten opnemen. Maar houd er rekening mee dat je zo minimaal mogelijk gegevens verzameld, alleen de persoonsgegevens die je echt nodig hebt. Anders kun je ze als doel ook niet verklaren, want je hebt ze dan niet echt nodig.

De privacyverklaring moet dan weer op een makkelijk plek te vinden zijn en voor iedereen toegankelijk. Daarom staat de privacyverklaring vaak in de voettekst van de website. Daarmee laat je aan klanten zien hoe jij met hun persoonsgegevens omgaat. Je bent al heel gauw verplicht om een privacyverklaring te hebben, tenzij je helemaal geen persoonsgegevens verwerkt, niet via je website (inzichten over je website/marketing), geen adressen, email, nieuwsbrief, contact mogelijkheid of wat dan ook. Dus zelfs als hobbyist moet je er vaak al aan geloven.

Het kan best lastig zijn om te bedenken wat er allemaal precies in een privacyverklaring moet komen te staan. Gelukkig zijn we daar bij Rechtonder best handig in. Dus heb je nog een privacyverklaring nodig of een ander juridische document of een vraag, neem dan contact met ons op.

Ben je er al achter, met welke grondslag jij persoonsgegevens verwerkt? Heb je deze al opgenomen in jouw privacyverklaring?

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.