Wanneer mag je persoonsgegevens verwerken
Vorige week legden we kort uit waar je bij het vragen om toestemming allemaal aan moet denken.Maar eigenlijk sloegen we daarbij een stapje over, namelijk de “juridische grondslagen” die de wet noemt.
Jurdische wat? Dat klinkt saai
Geen zorgen. We houden het kort. Dat je niet zomaar persoonsgegevens mag verwerken, dat is bij de meesten wel bekend. Maar wanneer mag het dan wel?
Daarvoor geeft de AVG in totaal zes opties. Kun je de verwerking niet in één van deze zes categorieën kwijt? Dan houdt het daar helaas op en mag je de persoonsgegevens niet (op die manier) verwerken.
Wie van de zes
De mogelijkheden die de AVG geeft, lichten we hieronder toe. Dit is in willekeurige volgorde! Er is niet een ‘betere‘ of ‘slechtere‘ grondslag, alleen een ‘juiste’.
- Toestemming: Deze is wel bekend en dus vorige week in dit blog uitgelegd.
- Wettelijke verplichting: Denk hierbij aan de verplichting om een financiële administratie bij te houden.
- Uitvoeren van een overeenkomst: Je bestelt iets bij een webshop, dan heeft die webshop wel je adres nodig om het pakketje naar je toe te kunnen sturen.
- Bescherming van vitale belangen: Niet de leukste voorbeelden om te geven, maar hier gaat het om situaties waarin acuut gevaar dreigt en de persoon zelf niet in staat is om toestemming te geven. Stel: iemand is betrokken bij een ongeluk, is bewusteloos en er moet gecontroleerd worden welke bloedgroep iemand heeft.
- Algemeen belang en uitvoeren van openbaar gezag: De politieagent die een proces-verbaal opmaakt, de gemeentelijke basisadministratie, flitspalen langs de provinciale weg. Ga zo maar door.
- Gerechtvaardigd belang: De categorie waarover vaak de meeste discussie bestaat. Maar ook één die kansen biedt. Je mag namelijk ook persoonsgegevens verwerken als je daar een ‘goede en legitieme reden‘ voor hebt. Je moet daarbij wel de afweging maken of jouw reden zwaarder weegt dan de inbreuk die je daardoor maakt op iemands privacy. Bijvoorbeeld camera-toezicht bij een bedrijfspand. Dat mag, maar niet zomaar en overal. Wel bij de serverruimte, niet op de toiletten. Meestal dan. We zullen hier binnenkort in een apart blog wat meer voorbeelden van geven.
Welke moet ik nu kiezen?
Dat is niet zo eenvoudig als het misschien lijkt. Je moet namelijk wel logisch en consistent zijn in je keuze. Je mag bijvoorbeeld niet om toestemming vragen als je eigenlijk verwerkt vanuit een wettelijke verplichting. Dat ziet de AVG als “niet eerlijk“.
Waarom niet? Omdat je toestemming in kan trekken. Dus als in dat geval de persoon die toestemming heeft gegeven die toestemming intrekt, dan moet je toch doorgaan met het verwerken van de persoonsgegevens. Je hebt namelijk een wettelijke plicht daartoe. Maar door het vragen om toestemming wek je de indruk dat de ander een keuze heeft.
En nu?
We begrijpen dat het lastig is om te bepalen voor welke grondslag je in welk geval moet kiezen. Wij helpen je daar graag bij. Neem contact met ons op om hier een vrijblijvend over te sparren