Wanneer mag ik persoonsgegevens verwerken?

Verwerking van persoonsgegevens is een breed begrip, zoals onder vraag 6 te lezen. Vanuit de AVG is het bovendien erg belangrijk dat je alleen met persoonsgegevens mag werken als je daar ook toestemming voor hebt. Binnen een organisatie geldt dat uiteraard ook voor de gegevens van collega’s onderling. Verwerking van persoonsgegevens is alleen toegestaan als je daar een grondslag voor hebt. De AVG kent de zes onderstaande grondslagen. Kun je de verwerking niet baseren op minimaal één van deze grondslagen? Dan heb je niet het recht om de betreffende persoonsgegevens te verwerken!

De zes wettelijke grondslagen voor verwerking van persoonsgegevens, in het kort:

1. Toestemming van de betrokken persoon
De AVG schrijft niet precies voor in welke vorm je toestemming moet vragen, maar de manier waarop is wel aan een aantal specifieke eisen verbonden. Gewoon een vinkje laten zetten zonder enige aanvullende informatie is niet voldoende. Zo moet er een actieve handeling worden verricht om toestemming te verlenen en moet je de persoon informeren over het wat, waarom en waarvoor van de verwerking. Bovendien moet de toestemming ‘vrijelijk gegeven zijn’: je mag iemand nooit onder druk zetten om toestemming te geven.

 2. Uitvoering van een overeenkomst
Je mag je op deze grondslag baseren als je een overeenkomst hebt met iemand en de verwerking van persoonsgegevens voor die overeenkomst noodzakelijk is. Als je als bedrijf een product of dienst verkoopt, waarbij je een overeenkomst aangaat met de koper, heb je hiervoor veelal de persoonsgegevens van deze koper nodig. Deze mag je dus voor dit doeleinde verzamelen. Denk aan iemands adresgegevens voor een aankoop in een webshop. Die gegevens mogen echter nooit voor andere doeleinden worden gebruikt zonder dat je je opnieuw op deze of een andere wettelijke grondslag kunt beroepen. Diezelfde webshop mag je dus niet zonder toestemming toevoegen aan een e-maillijst voor de nieuwsbrief, of om je geboortedatum vragen en je dan een actie sturen voor je verjaardag, zonder dat je daar expliciet toestemming voor hebt gegeven.

3. Wettelijke verplichting
In dit geval is de verwerking van de persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen. Bijvoorbeeld een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken, of een verstrekking van gegevens voor de uitvoering van de belastingwet.

4. Vitale belangen van de betrokkene
Deze grondslag is aan de orde als het belang van het verzamelen van persoonsgegevens een kwestie is van iemands leven of gezondheid en je die persoon niet om toestemming kunt vragen. Slechts in enkele gevallen kun je je op deze grondslag baseren, en in de regel hebben verreweg de meeste organisaties hier zelden tot nooit mee te maken.

5. Algemeen belang of openbaar gezag
Deze grondslag is alleen van toepassing als je een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor de organisatie.

6. Gerechtvaardigde belangen
Voorbeeld: Als je werkt op de afdeling financiële administratie heb je recht op inzage van rekeningnummers. Met andere woorden, als je voor het uitvoeren van je werkzaamheden toegang nodig hebt tot bepaalde persoonsgegevens, dan is dat toegestaan. Daar zijn wel specifieke voorwaarden aan verbonden, die te maken met de belangen van de persoon van wie je de gegevens verwerkt: het privacybelang van deze persoon dient te worden afgewogen tegen het gerechtvaardigd belang om deze gegevens te verwerken.

Wil je meer weten over de zes grondslagen, kijk dan op deze pagina van de AP-website.