Om gewone persoonsgegevens te mogen verwerken, moet er een wettelijke grondslag zijn om dit te doen. Hierbij wordt vaak gedacht aan toestemming van de betrokken persoon. Die toestemming moet voldoen aan de eisen: vrijelijk gegeven, ondubbelzinnig, geïnformeerd en specifiek. Toestemming is echter één van de grondslagen. Er zijn er in totaal zes.
Toestemming van de betrokken persoon.
De manier waarop toestemming wordt gevraagd moet voldoen aan vier eisen.
Vrijelijk gegeven. Iemand mag niet onder druk worden gezet om toestemming te geven, of worden benadeeld bij het niet geven van toestemming.
Ondubbelzinnig. Het moet helder zijn dat er actief toestemming is gegeven. Dit betekent bijvoorbeeld: geen vooraf aangevinkte vakjes.
Geïnformeerd. Betrokkenen moeten geïnformeerd worden over de identiteit van de organisatie, het doel van de verwerking, welke gegevens verzamelt en gebruikt worden en het recht dat ze hebben om toestemming in te trekken.
Specifiek. De toestemming moet gelden voor een specifieke verwerking en een specifiek doel. Dit mag niet veranderd of uitgebreid worden.
Daarnaast moet het makkelijk zijn om de toestemming weer in te trekken (bijvoorbeeld een duidelijke uitschrijflink) en het moet aangetoond kunnen worden dat de toestemming is gegeven.
Voor het verwerken van gegevens van kinderen jonger dan 16 jaar, is toestemming van ouders nodig.
De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
Er is een overeenkomst gesloten en het verwerken van persoonsgegevens is hiervoor noodzakelijk. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben. Zo kan het bijvoorbeeld gaan om het verwerken van adresgegevens om een verkocht product op te sturen. Voor het verwerken van de aankoop zijn de adresgegevens nodig.
De gegevens mogen op basis van deze grondslag niet verwerkt worden voor andere doeleinden, zoals analyses.
De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
De verwerking is noodzakelijk om aan een wettelijke verplichting te voldoen. Denk hierbij aan een bevel van de politie om persoonsgegevens te verstrekken. Ook het opslaan van persoonsgegevens van werknemers kan hieronder vallen. Zo is het wettelijk verplicht om een kopie van een identiteitsbewijs op te nemen in de loonadministratie.
De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
Deze grondslag zal niet veel gebruikt kunnen worden en dit mag alleen als er geen andere grondslag mogelijk is. Een vitaal belang is aan de orde als het gaat om het leven of de gezondheid van een persoon en er geen toestemming gevraagd kan worden. Dit is alleen van toepassing bij medisch handelen
De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
Het beroepen op deze grondslag kan alleen als u een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het moet duidelijk zijn dat de gegevensverwerking op basis is van een specifieke wettelijke taak en de verwerking moet noodzakelijk zijn om die taak te vervullen. Een voorbeeld hiervan is het plaatsen van camera’s door de gemeente voor de openbare veiligheid.
De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Er moet aan drie voorwaarden voldaan worden om op basis van deze grondslag gegevens te mogen verwerken.
Gerechtvaardigd belang: het belang moet rechtmatig, duidelijk verwoord en echt aanwezig zijn. Bijvoorbeeld het voeren van een personeelsadministratie.
Noodzakelijkheid: de verwerking moet noodzakelijk zijn en getoetst aan de eisen van proportionaliteit en subsidiariteit. Het doel van de verwerking moet dus in verhouding staan tot de inbreuk van de betreffende persoon en het doel moet niet op een minder nadelige manier bereikt kunnen worden.
Afweging belangen: er moet een afweging gemaakt worden tussen uw belangen en de belangen van de personen van wie u persoonsgegevens verwerkt. Hierbij moeten eventueel maatregelen getroffen worden om ervoor te zorgen dat de rechten en vrijheden van de betrokken personen niet zwaarder wegen dan het gerechtvaardigd belang. Het bewaren van de gegevens mag ook niet langer dan nodig is voor het doel van de verwerking.
Het kan zijn dat het verwerken van gegevens voor direct marketing onder deze grondslag valt. Er moet dan wel voldoen zijn aan de voorwaarden en er moet een opt-out mogelijkheid zijn. Het voorkomen van fraude of waarborgen van de informatiebeveiliging van netwerken, valt ook onder een gerechtvaardigd belang.
Overheidsinstanties mogen zich niet beroepen op deze grondslag.
Verantwoordingsplicht
Zorg er in alle gevallen voor dat onderbouwd kan worden waarop de grondslag is gebaseerd. Onder de AVG geldt een verantwoordingsplicht. Er moet dus altijd aangetoond kunnen worden dat de verwerking aan de belangrijkste beginselen voldoet.
