AVG grondslagen: kies de juiste grondslag
| Sieuwert van Otterloo |
Privacy
Onder de AVG is het verplicht om een grondslag te bepalen voor elke verwerking van persoonsgegevens. Er zijn zes mogelijke grondslagen, het is belangrijk om voor elke activiteit de juiste te kiezen.
De AVG grondslagen
Het kiezen van een grondslag is het kiezen van een rijbaan op de snelweg. Alle grondslagen zijn in principe toegestaan. Het is belangrijk dat u altijd in één rijbaan rijdt en niet er tussenin. De volgende zes grondslagen zijn wettelijk vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Alleen deze grondslagen mogen worden gebruikt:
- Toestemming van de betrokkene. Let op dat voor deze grondslag extra documentatie-eisen gelden en de toeslag altijd ingetrokken kan worden. Kies als het kan een andere grondslag.
- Wettelijke plicht. Organisaties zijn wettelijk verplicht om werknemersgegevens te bewaren en de financiële administratie te bewaren. Dit zijn voorbeeld van wettelijke plichten.
- Uitvoering van een overeenkomst met de betrokkene. Als u een overeenkomst heeft met de betrokkene, zoals een opdracht die uitgevoerd moet worden of een arbeidsovereenkomst, dan mag u alle gegegevens verwerken die noodzakelijk zijn om de overeenkomst uit te voeren.
- Vitale belangen. U mag altijd persoonsgegevens verwerken als u levensbedreigende situaties wilt voorkomen of oplossen. Denk aan het registreren van allergieën.
- Taak van algemeen belang. Deze grondslag kan gekozen worden door overheden die een volgens de wet een bepaalde taak gekregen heeft, zoals politie, kadaster, kamer van koophandel of belastingdienst.
- Gerechtvaardigd belang. Deze grondslag geldt als een gegevensverwerking niet absoluut nodig is, maar belangrijk voor uw bedrijf. Dit kan bijvoorbeeld het mailen van eerdere klanten zijn om ze als klant te behouden.
Waar legt u de grondslag vast
U moet voor elke verwerking de juiste grondslag bepalen en deze grondslag ook opschrijven in uw register van verwerkingsactiviteiten. De Autoriteit Persoonsgegevens kan dit register controleren, bijvoorbeeld na klachten of datalekken. U kunt de grondslag ook noemen in uw privacyverklaring.Let er wel op dat de privacyverklaring een kort, goed leesbaar document moet zijn en niet formeel of juridisch mag zijn.
Als u gegevens verwerkt voor een andere partij (bijvoorbeeld een klant) en deze klant heeft het doel bepaald van de verwerking, dan bent u waarschijnlijk verwerker en is de andere partij de verantwoordelijke. De verantwoordelijke moet dan de grondslag bepalen en registreren. U moet zorgen dat u een verwerkersovereenkomst heeft.
Toestemming is geen handige grondslag
Het lijkt misschien handig om altijd toestemming te vragen voor de verwerking van persoonsgegevens, en sommige organisaties hebben dit zo ingericht. In de praktijk vallen de meeste gegevens echter onder een andere grondslag. Vragen om toestemming is dan niet handig: ten eerste kan de toestemming niet gegeven worden of worden ingetrokken, en dan kunt u niet voldoen aan wettelijke verplichtingen of overeenkomsten. Ten tweede moet toestemming vrij gegeven worden. Er mogen er geen nadelige gevolgen zijn voor een persoon als zij geen toestemming geven.
Gebruik toestemming dus alleen voor optionele extra’s, zoals een extra prijsvraag of nieuwsbrief. Voor al uw andere verwerkingen heeft u een goede reden en dus een andere grondslag.
Meer informatie over AVG
Heeft u vragen over grondslagen of andere AVG-zaken? ICT Institute organiseert regelmatig gratis toegankelijke intervisie-bijeenkomsten. De volgende bijeenkomsten zijn vrijdag 13 september 2019 en vrijdag 15 november. Verder organiseren wij trainingen over privacy en security. Ook bieden wij een gratis Linkedin groep waarin we tips en nieuws over security en privacy met elkaar delen. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.
bron afbeelding: 7seth via unsplash
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.