Grondslagen

In de AVG staan zes zogeheten 'grondslagen' - dit zijn redenen waarom een organisatie persoonsgegevens mag verwerken:

• Toestemming
• Uitvoering van een overeenkomst
• Wettelijke verplichting
• Vitale belangen
• Uitvoering van een taak van algemeen belang of uitoefening van openbaar gezag
• Gerechtvaardigd belang

Deze grondslagen vormen de juridische basis voor gegevensverwerking en moeten worden nageleefd om aan de privacywetgeving te voldoen. Organisaties moeten zich op minstens één van deze grondslagen kunnen beroepen om je gegevens te mogen verwerken. Het is van belang op te merken dat organisaties ervoor moeten zorgen dat de grondslag passend en rechtmatig is voor elke specifieke verwerking van persoonsgegevens. Bovendien moeten ze transparant zijn naar betrokkenen over welke grondslag wordt gebruikt en voor welk doel de gegevens worden verwerkt. Dit kan worden opgenomen in de privacyverklaring van de desbetreffende organisatie. Een zorgvuldige afweging van de juiste grondslag is cruciaal om te voldoen aan de vereisten van de AVG en om de privacy van individuen te waarborgen. Hieronder wordt bij elke grondslag kort stilgestaan.

Toestemming

De grondslag toestemming houdt eigenlijk in dat een betrokkene uitdrukkelijk 'ja' heeft gezegd tegen het gebruik van zijn of haar persoonsgegevens. Voor deze toestemming gelden wel een aantal vereisten.

Er zijn vier vereisten om te spreken van een geldige toestemming op grond van de AVG:

• De toestemming moet vrijwillig gegeven zijn. Dit houdt eigenlijk in dat de toestemming vrijelijk wordt gegeven, dus zonder dat er enige vorm van druk of negatieve gevolgen aan verbonden zijn indien een betrokkene weigert. Daarnaast mag er geen sprake zijn van een ongelijke machtsverhouding tussen de partijen: het is dus eigenlijk niet de bedoeling dat een werkgever toestemming uitvraagt bij een werknemer voor de verwerking van persoonsgegevens.
• De toestemming moet betrekking hebben op een specifiek doel van de gegevensverwerking. Het moet dus duidelijk zijn waarvoor iemand toestemming geeft, zodat de betrokkene hierover een weloverwogen beslissing kan nemen.
• De betrokkene moet goed geïnformeerd worden over alle relevante informatie betrekking tot de verwerking van de persoonsgegevens, zoals: de identiteit van de verwerkingsverantwoordelijke, het doel van de verwerking en de ontvangers van de gegevens.
• De toestemming moet ondubbelzinnig zijn: er mag geen twijfel bestaan over de vraag of de betrokkene daadwerkelijk heeft ingestemd met de verwerking van zijn of haar persoonsgegevens. Neem bijvoorbeeld de vraag over het al dan niet mogen versturen van een nieuwsbrief: de betrokkene moet hierbij zelf het vakje aanvinken. Er mag geen gebruik worden gemaakt van een 'opt-out': in andere woorden, het vakje mag niet al vooraf aangevinkt zijn.

Uitvoering van een overeenkomst

Dit is een grondslag die het voor organisaties mogelijk maakt om persoonsgegevens te verwerken wanneer dat noodzakelijk is voor het uitvoeren van een overeenkomst. Het geldt ook voor stappen die genomen (dienen te) worden vóór het sluiten van een overeenkomst. Dit biedt organisaties dus de mogelijkheid om persoonsgegevens te verzamelen en te gebruiken wanneer dat nodig is om te voldoen aan de verplichtingen die voortvloeien uit een overeenkomst met de betrokkene.

Neem bijvoorbeeld als voorbeeld een situatie waarin je online iets koopt en de winkel het adres nodig heeft om het pakketje te bezorgen. Of als je een hypotheek aanvraagt en de bank bepaalde financiële gegevens nodig heeft om de aanvraag te beoordelen.

Wettelijke verplichting

Deze grondslag houdt verband met verwerkingen die noodzakelijk zijn om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Een voorwaarde hiervan is wel dat deze verplichting moet zijn gebaseerd op Europese en nationale wetgeving en dat de organisatie kan aantonen welke wet deze verwerking vereist. Een voorbeeld hiervan is de verstrekking van gegevens door een organisatie over haar werknemers aan de Belastingdienst.

Vitale belangen

Hierbij gaat het om de noodzaak om de vitale belangen van de betrokkene of van een andere natuurlijk persoon (zoals het kind van een betrokkene) te beschermen. Een vitaal belang raakt aan het leven van die persoon. Het gaat daarbij bijvoorbeeld om het verwerken van medische gegevens bij een ongeval. Het is van belang op te merken dat de verwerking van persoonsgegevens op grond van het vitale belang voor een ander natuurlijke persoon in beginsel alleen is toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Deze grondslag wordt dus eigenlijk alleen gebruikt in noodsituaties.

Algemeen belang of openbaar gezag

De AVG schrijft voor dat een verwerking van persoonsgegevens ook gerechtvaardigd is als deze noodzakelijk is voor een taak van algemeen belang of een taak voor het openbaar gezag. Het algemeen belang wordt verder niet gedefinieerd in de AVG. Het algemeen belang is in ieder geval niet beperkt tot overheidsinstanties. Gezondheidsdoelen zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten worden ook genoemd. Van openbaar gezag is sprake wanneer overheidsinstanties hun bij wet geregelde taak uitvoeren.

Gerechtvaardigd belang

Dit gaat om het gerechtvaardigd belang van de verwerkingsverantwoordelijke. Het is van belang dat hierbij een belangenafweging met de grondrechten van de betrokkene wordt gemaakt. In deze belangenafweging wordt het belang van de verwerkingsverantwoordelijke tegenover de belangen of grondrechten en de fundamentele vrijheden van betrokkene afgewogen. Het is een open norm en de afweging wordt uitgevoerd op basis van alle omstandigheden van het geval. Een belangrijke factor hierbij is in hoeverre de betrokkene redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. Bij deze verwachtingen speelt de verhouding tot de verwerkingsverantwoordelijke een belangrijke rol. Het is van belang dat de verwerkingsverantwoordelijke deze afweging toelicht bij het gebruik van deze grondslag.