Wat zijn de wettelijke grondslagen voor verwerking?

De wettelijke grondslagen voor de verwerking van persoonsgegevens: Meer dan alleen toestemming

De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan de verwerking van persoonsgegevens. Een essentieel aspect hiervan is de wettelijke grondslag: de reden waarom een organisatie persoonsgegevens mag verwerken. Simpelweg gegevens verzamelen is niet voldoende; de verwerking moet rechtmatig zijn, gebaseerd op één van de specifieke grondslagen die de AVG beschrijft. De veelgehoorde stelling dat toestemming altijd voldoende is, is een vereenvoudiging die tot misvattingen kan leiden.

De meest bekende grondslag is inderdaad expliciete toestemming. Dit houdt in dat de betrokkene – de persoon van wie de gegevens zijn – op vrije, specifieke, geïnformeerde en ondubbelzinnige wijze toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor een specifiek doel. Deze toestemming moet te allen tijde herroepelijk zijn. Denk aan het aanvinken van een vakje op een website om nieuwsbrieven te ontvangen. Belangrijk hierbij is dat de toestemming specifiek moet zijn: toestemming voor het versturen van nieuwsbrieven impliceert bijvoorbeeld niet automatisch toestemming voor het maken van een profiel op basis van het surfgedrag.

Naast toestemming zijn er nog andere, even belangrijke wettelijke grondslagen. Een veelvoorkomende is de verwerking die noodzakelijk is voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of voor het nemen van precontractuele stappen op verzoek van de betrokkene. Dit betekent dat de verwerking van persoonsgegevens nodig is om de afgesproken dienst of product te leveren. Voorbeelden hiervan zijn het verwerken van adresgegevens voor de bezorging van een bestelling of het verwerken van financiële gegevens voor een betaling. De verwerking is hierbij intrinsiek verbonden aan het contract en zonder deze verwerking kan de overeenkomst niet worden uitgevoerd.

De AVG noemt echter nog meer grondslagen, waaronder:

• Wettelijke verplichting: In sommige gevallen is de verwerking van persoonsgegevens wettelijk verplicht, bijvoorbeeld het bewaren van gegevens voor de belastingdienst.
• Bescherming van vitale belangen: In noodsituaties kan de verwerking van persoonsgegevens gerechtvaardigd zijn om het leven of de fysieke integriteit van de betrokkene of een ander te beschermen.
• Verwerking in het kader van een taak van algemeen belang of uitoefening van openbaar gezag: Dit betreft verwerkingen door overheidsinstanties of organisaties die een publieke taak uitvoeren.
• Verwerking voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde: Dit is een grondslag die zorgvuldig moet worden overwogen en waarbij een belangenafweging centraal staat. De gerechtvaardigde belangen mogen niet prevaleren boven de belangen of fundamentele rechten en vrijheden van de betrokkene. Voorbeelden zijn het gebruik van camerabewaking voor beveiliging of het gebruik van cookies voor het verbeteren van de website. Deze grondslag vereist echter een zorgvuldige afweging en transparantie.

Het kiezen van de juiste wettelijke grondslag is cruciaal voor de naleving van de AVG. Een verkeerde keuze kan leiden tot boetes en reputatieschade. Het is daarom aan te raden om zorgvuldig te bepalen welke grondslag van toepassing is op elke specifieke verwerking van persoonsgegevens en dit goed te documenteren. Bij twijfel is het raadzaam om juridisch advies in te winnen.