Mag u persoonsgegevens verwerken?
Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag u alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.
Grondslagen uit de AVG
Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken. In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd.
De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.
Grondslag zelf bepalen
Let op: u moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De Autoriteit Persoonsgegevens (AP) kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens te verwerken.
De 6 grondslagen
In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:
- U heeft toestemming van de persoon om wie het gaat.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
- Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
Tip: grondslag vermelden
Heeft u een grondslag voor uw verwerking? Dan is het aan te raden dat u de grondslag vermeldt op de volgende plekken:
- In uw privacyverklaring. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan. Dit kan u helpen om aan uw informatieplicht te voldoen.
- In uw privacybeleid (als u dit heeft, want niet elke organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan uw verantwoordingsplicht te voldoen.
- Eventueel aanvullend in uw verwerkingsregister.
Let op: zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen.
Uitzondering: bijzondere en strafrechtelijke gegevens
Let op: deze regels gelden alleen voor ‘gewone’ persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.
Persoonlijk gebruik
Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.
Bekijk binnen het onderwerp Mag u persoonsgegevens verwerken?
Nieuws
-
Nieuwsbericht / 9 maart 2020Privacyblog Aleid Wolfsen: 'Computer says no' is niet genoeg
-
Nieuwsbericht / 1 november 2019AP geeft ondernemers praktische informatie over grondslagen
-
Nieuwsbericht / 17 april 2019Guidelines over grondslag overeenkomst open voor consultatie
Alle antwoorden op mijn vragenVragen van ondernemers in het mkb
-
Mag u de gegevens van uw klanten gebruiken voor direct marketing?
Dat hangt af van het soort direct marketing. Er gelden verschillende regels voor digitale direct marketing, telemarketing en reclamepost.
Toestemming
Soms heeft u toestemming nodig van uw klant voor direct marketing, soms niet. In alle gevallen geldt dat direct marketing zonder toestemming van uw klant alléén mag als diegene daadwerkelijk klant van u is en het gaat om reclame voor uw eigen, soortgelijke producten of diensten.
U mag dus geen reclame (mee)sturen van een ander bedrijf. Of voor producten of diensten die heel anders zijn dan wat uw klant eerder bij u heeft gekocht.
Digitale direct marketing
U mag uw klant benaderen via bijvoorbeeld e-mail, sms of app zonder hiervoor eerst toestemming te vragen. Tenzij diegene heeft aangegeven dit niet te willen.
Telemarketing
U mag uw klant bellen met een reclameaanbod zonder hiervoor eerst toestemming te vragen. Tenzij diegene heeft aangegeven dit niet te willen.
Reclamepost
Wilt u uw klant reclamepost sturen, dan gebruikt u de contactgegevens van uw klant voor een ander doel dan waarvoor u deze gegevens oorspronkelijk heeft verzameld.
Daarom moet u eerst toetsen of het gebruik van de gegevens verenigbaar is. Zo ja, dan mag u reclamepost sturen zonder hiervoor eerst om toestemming te vragen. Zo niet, dan heeft u toestemming nodig.
Alle antwoorden op mijn vragenVragen over persoonsgegevens verwerken
-
Wat verstaat de AVG onder strafrechtelijke persoonsgegevens?
Strafrechtelijke persoonsgegevens zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten. Of met veiligheidsmaatregelen die daarmee verband houden.
Hieronder vallen zowel veroordelingen als mogelijk gegronde verdenkingen. Dit wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd.
Met gegevens over veiligheidsmaatregelen worden persoonsgegevens bedoeld die te maken hebben met een door de rechter opgelegd verbod vanwege onrechtmatig of hinderlijk gedrag.
Onder de Algemene verordening gegevensbescherming (AVG) gelden speciale regels voor het verwerken van strafrechtelijke gegevens.
Alle antwoorden op mijn vragenVragen over de 6 grondslagen
Alle antwoorden op mijn vragenVragen over de grondslag toestemming
-
Hoe krijgt u uitdrukkelijke toestemming?
De betrokkene (degene van wie u gegevens wilt verwerken) moet een uitdrukkelijke verklaring van toestemming geven. Voor de hand ligt dat u hiervoor zorgt met een schriftelijke verklaring van de betrokkene. Om elke twijfel te voorkomen, kunt u die ook laten ondertekenen door de betrokkene. Maar dit is niet de enige manier waarop u uitdrukkelijke toestemming kunt krijgen.
Online verklaring
In een digitale of online context kan een betrokkene de vereiste verklaring verstrekken door een elektronisch formulier in te vullen, een e-mail te sturen, een gescand document met handtekening te uploaden of een elektronische handtekening te zetten.
Website
U kunt ook bezoekers van uw website een scherm aanbieden waarop zij hun uitdrukkelijke toestemming kunnen geven door ‘Ja’ of ‘Nee’ aan te klikken.
Let op: de tekst hierbij moet wel duidelijk de toestemming verwoorden. Bijvoorbeeld: ‘Hierbij geef ik toestemming voor de verwerking van mijn gegevens.’
Ook moet u hierbij natuurlijk genoeg informatie geven aan uw bezoekers over wat u met hun gegevens doet als zij toestemming geven.
Mondelinge verklaring
In theorie kan een mondelinge verklaring ook voldoende zijn, maar daarbij kan het voor u moeilijk zijn om te bewijzen dat u aan alle voorwaarden voor geldige uitdrukkelijke toestemming heeft voldaan.
Meer informatie
Voor meer informatie, zie de AVG-guidelines over toestemming, hoofdstuk 4.