Wat zijn de 6 wettelijke grondslagen voor de AVG?

De Zes Pilaren van Rechtmatigheid: De Wettelijke Grondslagen van de AVG

De Algemene Verordening Gegevensbescherming (AVG) is de hoeksteen van de privacybescherming in Europa. Maar wat betekent het nu concreet om data te verwerken conform deze strenge regels? Cruciaal hierin is artikel 6, dat de wettelijke grondslagen voor gegevensverwerking definieert. Zonder een van deze grondslagen, mag je simpelweg geen persoonsgegevens verzamelen, opslaan, of gebruiken. Dit artikel ontrafelt deze zes pilaren van rechtmatigheid, en biedt inzicht in hun toepassing.

1. Toestemming: De Kracht van Actieve en Geïnformeerde Keuze

Toestemming is wellicht de meest bekende grondslag. Echter, het is niet zomaar een vinkje op een website. De AVG vereist actieve en geïnformeerde toestemming. Dit betekent dat de betrokkene:

• Actief moet handelen: een vooraf aangevinkt vakje is dus uit den boze.
• Specifiek moet worden geïnformeerd: duidelijkheid over wie de data verwerkt, waarvoor, en hoe lang.
• Onafhankelijk de keuze moet kunnen maken: toestemming mag niet gebonden zijn aan andere diensten.
• Gemakkelijk de toestemming moet kunnen intrekken: het moet net zo eenvoudig zijn om toestemming in te trekken als om deze te geven.

Toestemming is het meest geschikt wanneer de betrokkene een duidelijke keuze heeft en profiteert van de gegevensverwerking. Denk aan het aanmelden voor een nieuwsbrief of het accepteren van cookies voor gepersonaliseerde advertenties.

2. Noodzaak voor een Overeenkomst: Van Contract tot Uitvoering

Deze grondslag is van toepassing wanneer de verwerking van persoonsgegevens noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene, of om op verzoek van de betrokkene handelingen te verrichten voorafgaand aan het sluiten van een overeenkomst. Denk hierbij aan:

• Het verwerken van adresgegevens voor de verzending van een online bestelling.
• Het verwerken van bankgegevens voor de betaling van een dienst.
• Het verwerken van een sollicitatiebrief om de geschiktheid voor een functie te beoordelen.

De gegevensverwerking moet direct gerelateerd zijn aan de overeenkomst of de voorbereiding daarvan.

3. Wettelijke Verplichting: Voldoen aan de Wet

Deze grondslag staat centraal wanneer een wettelijke verplichting de verwerking van persoonsgegevens vereist. Denk aan:

• Het verstrekken van gegevens aan de belastingdienst.
• Het bewaren van personeelsgegevens conform de arbeidswetgeving.
• Het voldoen aan meldingsplichten bij datalekken.

Deze grondslag biedt een kader voor verwerkingen die door de wet worden opgelegd.

4. Bescherming van Vitale Belangen: In Noodsituaties

Deze grondslag is bedoeld voor noodsituaties waarin de verwerking van persoonsgegevens noodzakelijk is om iemands leven te beschermen. Dit kan bijvoorbeeld van toepassing zijn in de gezondheidszorg, wanneer een patiënt niet in staat is toestemming te geven voor een levensreddende behandeling. Denk aan:

• Het delen van medische gegevens met hulpdiensten in een noodgeval.
• Het informeren van familieleden over de toestand van een bewusteloze patiënt.

Deze grondslag is strikt beperkt tot situaties waarin de bescherming van het leven van een persoon in het geding is.

5. Taak van Algemeen Belang: Handelen in het Publieke Domein

Deze grondslag is relevant voor overheidsinstanties en organisaties die een taak van algemeen belang uitvoeren. Denk aan:

• Het verzamelen van statistische gegevens door het CBS.
• Het uitvoeren van onderzoeken door een universiteit in opdracht van de overheid.
• Het handhaven van de openbare orde door de politie.

De taak van algemeen belang moet duidelijk omschreven zijn in de wet.

6. Gerechtvaardigd Belang: De Balans tussen Verwerker en Betrokkene

De laatste grondslag is gebaseerd op een afweging van de belangen van de verwerkingsverantwoordelijke en de belangen van de betrokkene. De verwerkingsverantwoordelijke moet een gerechtvaardigd belang hebben bij de verwerking, bijvoorbeeld:

• Direct marketing aan bestaande klanten (mits aan specifieke voorwaarden wordt voldaan).
• Het beveiligen van bedrijfsgebouwen met cameratoezicht.
• Het voorkomen van fraude.

Het gerechtvaardigd belang mag echter niet prevaleren boven de fundamentele rechten en vrijheden van de betrokkene. Er moet een zorgvuldige belangenafweging worden gemaakt, waarbij rekening wordt gehouden met de redelijke verwachtingen van de betrokkene.

Conclusie

De AVG eist dat elke verwerking van persoonsgegevens steunt op een van deze zes wettelijke grondslagen. Het kiezen van de juiste grondslag is cruciaal voor de naleving van de AVG en het respecteren van de privacy van individuen. Door de principes van deze grondslagen te begrijpen, kunnen organisaties de privacyrechten van hun klanten, werknemers en andere stakeholders beter waarborgen. Het is aan de verwerkingsverantwoordelijke om de meest passende grondslag te selecteren en deze te documenteren. Bij twijfel is het raadzaam juridisch advies in te winnen om zeker te zijn van de naleving van de AVG.