Grondslagen voor de verwerking van persoonsgegevens volgens de AVG

Grondslagen voor de verwerking van persoonsgegevens volgens de AVG

Rene Bouter

Volgens de nieuwe Algemene Verordening Gegevensbescherming (AVG) mogen organisaties vanaf 25 mei 2018 enkel nog persoonsgegevens van patiënten, leden, klanten, prospects, studenten en andere belanghebbenden verwerken als er een grondslag of “wettelijke toestemming” is voor deze verwerking. Deze grondslagen staan beschreven in artikel 6 van de AVG.

De AVG heeft behoorlijke implicaties voor vrijwel alle bedrijven, scholen, zorginstellingen en andere organisaties in Nederland. Mag u na 25 mei 2018 nog persoonsgegevens verwerken? En zo ja, onder welke voorwaarden?

In deze blog ga ik in op de verschillende grondslagen op basis waarvan u persoonsgegevens mag verwerken. Ik sta ook graag even wat langer stil bij de grondslag ‘Toestemming’. Het lijkt immers eenvoudig om iemand toestemming voor de verwerking van zijn of haar persoonsgegevens te vragen, maar in de praktijk blijkt dat nog niet zo evident.

Rechtmatigheid van de verwerking: mag u wel persoonsgegevens verwerken?

Voor we aan de grondslagen voor de verwerking van persoonsgegevens toekomen, moeten we eerst beoordelen of we als organisatie überhaupt persoonsgegevens mogen verwerken. Dit mag vanaf 25 mei 2018 immers nog maar onder strikte voorwaarden zoals beschreven in artikel 5 van de AVG “Beginselen inzake verwerking van persoonsgegevens”.

Kort samengevat moeten persoonsgegevens:

  1. worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparantie”)
  2. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld
  3. toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”)
  4. juist zijn en zo nodig worden geactualiseerd
  5. worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt
  6. door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is

Niet onbelangrijk: de hierboven genoemde voorwaarden moeten ingevuld zijn voor u persoonsgegevens van uw patiënten, leden, klanten, prospects, studenten… verzamelt, niet achteraf.

Grondslagen voor de verwerking

Als uw situatie aan de hierboven genoemde voorwaarden voldoet, dan mag u persoonsgegevens opvragen en verwerken. Onder bepaalde voorwaarden weliswaar! U moet immers grondige redenen hebben. Deze redenen (of grondslagen) worden beschreven in artikel 6 van de AVG en ze kunnen als volgt samengevat worden:

  1. de verwerking van persoonsgegevens is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is:
  2. de verwerking van persoonsgegevens is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust:
  3. de verwerking van persoonsgegevens is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen:
  4. de verwerking van persoonsgegevens is noodzakelijk voor de vervulling van een taak van algemeen belang:
  5. de verwerking van persoonsgegevens is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde
  6. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden:

Hieronder sta ik graag wat uitgebreider stil bij deze grondslagen voor de verwerking van persoonsgegevens.

Uitvoering van een overeenkomst

Zodra je een overeenkomst gesloten hebt met een klant heb je een aantal persoonsgegevens nodig om deze overeenkomst uit te kunnen voeren. Denk hierbij bijvoorbeeld aan adresgegevens en/of geboortedata. In dit geval mag u als organisatie ook na 25 mei persoonsgegevens verwerken.

Voldoen aan een wettelijke verplichting

De wet stelt eisen aan het vastleggen van bepaalde gegevens voor het leveren van diensten. Denk hierbij bijvoorbeeld aan eisen die de belastingdienst stelt. Bent u als organisatie wettelijk belast met het registreren van persoonsgegevens? Dan mag of moet u ook na 25 mei persoonsgegevens verwerken, uiteraard volgens de voorwaarden zoals hierboven beschreven.

Beschermen van de vitale belangen van de betrokkene

Is uw verwerking van persoonsgegevens van levensbelang voor de betrokkene? Ofwel: is er een dringende medische noodzaak om de gegevens van de betrokkene te verwerken? Is het een zaak van leven of dood? Dan mag (en moet) u ook volgens de nieuwe AVG de persoonsgegevens van de betrokkene verwerken.

Vervullen van een taak van algemeen belang

Deze grondslag maakt gegevensverwerking mogelijk voor zover deze noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het betreffende bestuursorgaan dan wel het bestuursorgaan aan wie de gegevens worden verstrekt. Met andere woorden: is de verwerking van persoonsgegevens van belang voor het algemeen nut van de samenleving? Dan mag u wel degelijk persoonsgegevens blijven verwerken.

Behartigen van de belangen van de verwerkingsverantwoordelijke

Volgens deze grondslag is een gegevensverwerking geoorloofd indien deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, doorslaggevend zijn. Met andere woorden: als uw verwerking van persoonsgegevens de privacy van de betrokkene niet in het gedrang brengt én als de gegevensverwerking het belang van de betrokkene of een derde partij op een rechtvaardige manier dient, dan mag u ook onder de AVG persoonsgegevens blijven verwerken.

Toestemming

De grondslag ‘Toestemming’ brengt de beschikkingsmacht van de betrokkene over de hem betreffende gegevens tot uitdrukking: alleen in geval van een ondubbelzinnige toestemming van de betrokkene is het toegestaan om zijn of haar gegevens te verwerken.

De term “ondubbelzinnig” is hier zeer belangrijk. Hetzelfde geldt overigens voor het feit dat de betrokkene zijn toestemming in alle vrijheid, zonder dwang, heeft kunnen geven. In situaties waarin sprake is van ongelijke machtsverhoudingen tussen verantwoordelijke en betrokkene kan de toestemming van de betrokkenen als rechtvaardingsgrond dus uitgesloten worden.

De AP geeft het sluiten van een overeenkomst als voorbeeld om het concept “ondubbelzinnige toestemming” te verduidelijken. Stel dat er een overeenkomst gesloten wordt, en stel dat in de voorwaarden vastgelegd is welke gegevens er worden verwerkt, dan wil dat nog niet zeggen dat de betrokkenen daartoe ondubbelzinnig zijn toestemming heeft gegeven met het tekenen van de overeenkomst.

Om ondubbelzinnig toestemming te verlenen moet deze aan meer voorwaarden voldoen. Als ‘verantwoordelijke’ zal u de betrokkene hiervoor duidelijk moeten wijzen op de betreffende bepalingen in de algemene voorwaarden. Dit geldt overigens ook ten aanzien van het verwerken van persoonsgegevens door internetproviders en dienstverleners. Daarom ook moeten websites een duidelijke link naar algemene voorwaarden, een privacybeleid en een cookiebeleid bevatten.

“Ondubbelzinnig” wil ook zeggen dat een betrokkene voor ieder afzonderlijke dienst aan moet geven dat hij hiervoor toestemming geeft. Als voorbeeld kunt u denken aan het toesturen van een nieuwsbrief. Als u meerdere rubrieken heeft waarvoor u afzonderlijke nieuwsbrieven stuurt, dan moet iedere betrokkene voor iedere rubriek expliciet aangeven of hij/zij de nieuwsbrief over deze rubriek wil ontvangen.

De verwerking van persoonsgegevens op basis van deze grondslag heeft nog een aantal andere implicaties. De betrokkenen kunnen namelijk op ieder moment de toestemming voor het verwerken van de persoonsgegevens intrekken. Als de betrokkene dit doet dan moet u de verwerking van hun persoonsgegevens ook meteen stoppen. Bij controle door de AP moet u vervolgens aan kunnen tonen dat u van de betrokkenen toestemming hebt gekregen om de gegevens te verwerken.

Toestemming: lust of last?

Toestemming als grondslag voor gegevensverwerking biedt betrokkenen het hoogste beschikkingsrecht voor het verwerken van persoonsgegevens. Voor u als gegevensverwerker kent deze grondslag echter nog wel de nodige haken en ogen.

Kort samengevat moet de “toestemming van de betrokkene voor de verwerking van zijn of haar persoonlijke gegevens” aan de volgende voorwaarden voldoen:

  1. De toestemming moet ondubbelzinnig zijn; de verantwoordelijke zal precies aan moeten geven welke persoonlijke gegevens verwerkt mogen worden, waarvoor de gegevens verwerkt mogen worden en door wie de gegevens verwerkt mogen worden.
  2. De betrokkenen moet de toestemming in absolute vrijheid verleend hebben; als er enige vorm van twijfel over de vrijheid is, bijvoorbeeld in een hiërarchische relatie, dan wordt toestemming als grond voor gegevensverwerking uitgesloten.
  3. Toestemming geldt slechts voor bepaalde gegevensverwerkingen; er is bijvoorbeeld wetgeving die de toestemming als verwerkingsgrond uitsluit. In zulke gevallen is het niet toegestaan om persoonsgegevens te verwerken, ook niet als de betrokkene toestemming heeft verleend.

Vragen of meer informatie?

De Algemene Verordening Gegevensbescherming (AVG) staat voor de deur en de regels zijn allerminst eenvoudig. Ik hoop u in deze blog iets meer inzicht gegeven te hebben over de voorwaarden waaraan voldaan moet worden voor u persoonsgegevens mag verwerken.

Heeft u vragen over de AVG in het algemeen of over de inhoud van dit artikel in het bijzonder? Aarzel niet en neem vrijblijvend contact met ons op: +31 88 000 5400 of info@divetro.nl Wij helpen u graag verder.

Rene Bouter is meer dan 10 jaar werkzaam in de security en heeft een brede kennis en ervaring op het gebied van fysieke beveiliging, business continuity en informatiebeveiliging. Daarnaast ontwikkelt en geeft Rene verschillende trainingen op het gebied van security. Als consultant is hij betrokken bij verschillende ISO27000 en NEN7510 implementatietrajecten voor organisaties in de overheid, financiën en de zorg.

Geen reactie's

Geef een reactie