Grondslagen AVG uitgelegd

Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken. In de Algemene verordening gegevensbescherming (AVG) staan 6 redenen genoemd. De juridische naam voor die redenen is 'grondslagen'. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

Algemene informatie grondslagen AVG

U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De Autoriteit Persoonsgegevens (AP) kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens verwerken.

De 6 grondslagen

In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:

1. U heeft toestemming van de persoon om wie het gaat.
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang uit te voeren / openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Tip: grondslag vermelden

Heeft u een grondslag voor uw verwerking? Dan is het aan te raden dat u de grondslag vermeldt op de volgende plekken:

1. In uw privacyverklaring. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan. Dit kan u helpen om aan uw informatieplicht te voldoen.
2. In uw privacybeleid (als u dit heeft, want niet elke organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan uw verantwoordingsplicht te voldoen.
3. Neem de grondslag eventueel ook op in uw verwerkingsregister.

Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen.

Uitzondering: bijzondere en strafrechtelijke gegevens

Let op: Deze regels gelden alleen voor gewone persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

Speciale regels voor bijzondere persoonsgegevens

Speciale regels voor strafrechtelijke gegevens

Persoonlijk of huishoudelijk gebruik

Verwerking van persoonsgegevens puur voor persoonlijk of huishoudelijk gebruik is wel altijd toegestaan. Dit valt niet onder de AVG. U hoeft dan dus geen grondslag te hebben. Bijvoorbeeld:

• een verjaardagskalender;
• een bestand met adressen van familie en vrienden;
• persoonsgegevens publiceren op een afgeschermde pagina op internet. 

Grondslag toestemming

Een van de grondslagen in de AVG is dat mensen toestemming hebben gegeven om hun persoonsgegevens te verwerken. In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Lees verder: Grondslag toestemming. 

Grondslag overeenkomst

Een van die grondslagen in de AVG is dat het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren. U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. Deze grondslag geldt ook voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

Soms heeft u toestemming nodig

Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn om de overeenkomst uit te voeren. Doet u dat wel? Dan moet u daarvoor alsnog ook toestemming of een andere grondslag hebben.

Guidelines over grondslag overeenkomst

Voor meer informatie, zie de Guidelines over de grondslag overeenkomst bij online services van de EDPB.

Grondslag wettelijke verplichting

Is de verwerking van de persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen? Dan kunt u zich op deze grondslag baseren.

Voorbeelden
Voorbeeld 1: U heeft een bevel van de politie om bepaalde persoonsgegevens aan de politie door te geven. 
Voorbeeld 2: U geeft persoonsgegevens van uw medewerkers aan de Belastingdienst door voor de uitvoering van de belastingwetgeving.

Het hoeft niet expliciet in de wet te staan dat u persoonsgegevens moet verwerken om een specifieke taak uit te voeren. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.

Grondslag vitaal belang

U kunt zich maar in enkele gevallen op deze grondslag baseren.

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om persoonsgegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.

Voorbeeld
Bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het onmogelijk om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.

Toegang geven aan anderen

Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen verwerkt? Dan mag dat alleen wanneer u de verwerking niet op een andere grondslag kunt baseren.

Grondslag taak van algemeen belang of uitoefening van openbaar gezag

Is de verwerking van persoonsgegevens noodzakelijk om  – meestal als overheid – een door de wet gegeven taak uit te oefenen of wettelijke bevoegdheden uit te oefenen, zoals het verlenen van een vergunning? Dan kunt u zich op deze grondslag baseren. Het gaat daarbij om taken en bevoegdheden die door de wet aan uw organisatie zijn gegeven.

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt om die specifieke wettelijke taak uit te oefenen. Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. 

Type organisaties

U hoeft geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag.  Bent u formeel geen bestuursorgaan, omdat u geen besluiten neemt maar alleen feitelijke handelingen verricht? Ook dan kunt u een wettelijke taak hebben waarbij het noodzakelijk is om persoonsgegevens te verwerken om die taak uit te voeren. 

U mag uw verwerking dan op deze grondslag  baseren.  U moet dan wel door de wet zijn aangewezen (bijvoorbeeld in een ministeriële regeling) om de betreffende taak uit te voeren. U kunt dit dus niet zelf bepalen.

Grondslag gerechtvaardigd belang

Om uw verwerking te mogen baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang', moet u aan 3 voorwaarden voldoen. Hiermee toetst u of uw recht om persoonsgegevens te verwerken – omdat u een gerechtvaardigd belang heeft om dit te doen – zwaarder weegt dan het recht van mensen op bescherming van hun persoonsgegevens.

De 3 voorwaarden zijn:

1. U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
2. De verwerking is noodzakelijk om dit belang te behartigen.
3. U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.

Voorwaarde 1: gerechtvaardigd belang

Uw belang is gerechtvaardigd als het in het recht is beschermd. Veel soorten belangen komen in aanmerking. Bijvoorbeeld ook belangen die als rechten en vrijheden beschermd worden door het Handvest van de grondrechten van de Europese Unie. 

Erkende gerechtvaardigde belangen zijn bijvoorbeeld:  

• een veilig en gezond leven hebben;
• eigendommen beschermen in een dreigende situatie;
• de privésfeer beschermen;
• inbreuken op een persoonlijkheids- of vermogensrecht tegengaan; 
• procederen en/of een rechtsvordering instellen, uitoefenen of onderbouwen;
• grensoverschrijdend gedrag in werkrelaties onderzoeken en beëindigen;
• fraude, oplichting of ander onrechtmatig gedrag tegengaan;
• iemand aansprakelijk stellen voor schade;
• bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten;
• computersystemen goed beveiligen en beschermen;
• zorgplichten nakomen voor werknemers en/of klanten;
• aan alle (zorg)verplichtingen voldoen die u heeft op basis van bijvoorbeeld het Burgerlijk Wetboek.

Het belang moet hierbij wel:

1. Echt zijn. Dit houdt in dat het niet mag gaan om een mogelijk belang in de toekomst, waarvan u nog niet zeker bent.
2. Concreet zijn. Dit houdt in dat u het belang duidelijk kunt verwoorden.
3. Rechtstreeks zijn. Dit houdt in dat het gaat om een belang van uzelf, dus niet een algemeen belang van ‘de samenleving’ of iets dergelijks.

Let op: Als gerechtvaardigd belang geldt bijvoorbeeld niet het enkele belang om (meer) winst te kunnen maken door persoonsgegevens van anderen zonder toestemming te verkopen.

Heeft u geen gerechtvaardigd belang? Dan kunt u uw verwerking niet baseren op deze grondslag.

Voorwaarde 2: noodzakelijkheid

Heeft u daadwerkelijk een gerechtvaardigd belang? Dan moet u vervolgens kijken of de verwerking van persoonsgegevens noodzakelijk is om dit belang te behartigen. Dit doet u door na te gaan:

• Of het doel van uw verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen (proportionaliteit).
• Of u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de betrokkenen (subsidiariteit).

Voldoet u niet aan allebei deze eisen? Dan is uw verwerking niet noodzakelijk. En kunt u uw verwerking dus niet baseren op de grondslag gerechtvaardigd belang.

Voorwaarde 3: afweging belangen

Heeft u een gerechtvaardigd belang en is de gegevensverwerking noodzakelijk om dit belang te behartigen? Dan moet u tot slot nog een afweging maken tussen uw belangen en de belangen van de betrokkenen.

Bij deze afweging kijkt u naar:

• De gevolgen voor de betrokkenen.
• Hoe ernstig de inbreuk is op de privacy van de betrokkenen.
• Welke (aanvullende) maatregelen u neemt om ongewenste gevolgen voor de betrokkenen te voorkomen of beperken.
• Of de betrokkenen de verwerking min of meer kunnen verwachten. 

Let op: Wilt u persoonsgegevens verwerken van kinderen (jonger dan 16 jaar)? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.

Uw afweging kan tot 2 conclusies leiden:

• De belangen van de betrokkene blijken zwaarder te wegen. U kunt uw verwerking hierdoor niet baseren op de grondslag gerechtvaardigd belang. U mag de gegevens dus niet verwerken.
• Uw belangen wegen zwaarder. U heeft hierdoor een grondslag om persoonsgegevens te verwerken. U mag de gegevens dus wel verwerken.

Bekijk ook de Normuitleg grondslag gerechtvaardigd belang van de AP.

Speciale regels voor bijzondere persoonsgegevens

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering.  In de AVG staan 10 uitzonderingen.

Dat betekent dat het verbod niet voor u geldt wanneer u zich kunt baseren op een uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die uitzonderingen en grondslagen samen.

Van de 10 uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat u zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag.

De 10 uitzonderingen zijn:

1. Iemand heeft uitdrukkelijke toestemming gegeven voor de verwerking van de eigen persoonsgegevens.
2. Alleen als het in een wet staat: De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht of het socialebeschermingsrecht.
3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om toestemming te geven.
4. U verwerkt de persoonsgegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om persoonsgegevens van uw (oud-)leden of personen met wie u regelmatig contact heeft, gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
5. U verwerkt persoonsgegevens die de betrokken persoon zelf doelbewust openbaar heeft gemaakt.
6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsprekende taken.
7. Alleen als het in een wet staat: De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
8. Alleen als het in een wet staat: De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
9. Alleen als het in een wet staat: De verwerking is noodzakelijk voor de volksgezondheid.
10. Alleen als het in een wet staat: De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.

Speciale regels voor strafrechtelijke gegevens

De verwerking van strafrechtelijke gegevens (AVG: 'persoonsgegevens van strafrechtelijke aard') is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op een van de grondslagen voor het verwerken van 'gewone' persoonsgegevens.

Dit zijn de 2 belangrijkste wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens:

1. De verwerking geschiedt onder verantwoordelijkheid van de overheid.
2. De verwerking is toegestaan bij nationaal recht. Het gaat dan om Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen bieden voor de rechten en vrijheden van de betrokken personen.

Voor een volledig overzicht van de wettelijke uitzonderingen, zie artikel 32 en 33 van de Uitvoeringswet AVG (UAVG).

Let op: Alleen de overheid mag omvangrijke registers met strafrechtelijke veroordelingen bijhouden.