Mag u persoonsgegevens verwerken?

Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Als ondernemer in het mkb mag u daarom, net als elke andere organisatie, niet zomaar persoonsgegevens verwerken. Dat mag alleen als het echt niet anders kan. U moet dus een goede reden hebben.

Grondslag nodig

In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd om gegevens te verwerken. De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

Grondslagen voor mkb

Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer:

Overeenkomst
De meest voorkomende grondslag zal zijn dat u gegevens nodig heeft om een overeenkomst uit te voeren. Bijvoorbeeld als u een webwinkel heeft en een klant iets bij u bestelt. U heeft dan het adres van de klant nodig om het product te kunnen versturen.

Deze grondslag geldt óók voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

Zie verder: Wanneer mag u zich baseren op de grondslag uitvoering overeenkomst?

Wettelijke verplichting
Soms moet u persoonsgegevens verwerken omdat u dit wettelijk verplicht bent. Bijvoorbeeld: u moet gegevens verstrekken voor de uitvoering van de belastingwetgeving. 

Zie verder: Wanneer mag u zich baseren op de grondslag wettelijke verplichting?

Toestemming
U mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan u misschien denkt. U hoeft dus zeker niet overal toestemming voor te vragen.

Zie verder:

• Wanneer mag u zich baseren op de grondslag toestemming?
• Waar moet u op letten bij de grondslag toestemming?
• Is het niet beter om voor de zekerheid altijd toestemming te vragen?

Gerechtvaardigd belang
U mag persoonsgegevens verwerken als dat noodzakelijk is om uw gerechtvaardigd belang te behartigen. Bijvoorbeeld als u fraude binnen uw bedrijf wil bestrijden.

Zie verder: Wanneer mag u zich baseren op de grondslag gerechtvaardigd belang?

Grondslag zelf bepalen

U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De Autoriteit Persoonsgegevens (AP) kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens te verwerken.

Uitzondering: bijzondere en strafrechtelijke gegevens

Let op: deze regels gelden alleen voor ‘gewone’ persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

Zie verder

• Wat moet u verder doen als u een grondslag heeft voor de verwerking?

Heeft u een grondslag om waarop u uw verwerking van persoonsgegevens kunt baseren? Dan heeft u het recht om ‘gewone’ persoonsgegevens te verwerken. Maar u moet dat wel zorgvuldig doen. Daarom is het belangrijk dat u de grondslag registreert.

Dit doet u in uw privacyverklaring en in uw verwerkingsregister. Zorg er ook voor dat u goed kunt onderbouwen waarom deze grondslag op uw verwerking van toepassing is.

Privacyverklaring

U heeft de plicht om mensen te informeren over de verwerking van hun persoonsgegevens. De meeste bedrijven doen dit via een online privacyverklaring.

Zet in uw privacyverklaring op basis van welke grondslag u persoonsgegevens verwerkt. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan.

Verwerkingsregister

Registreer de grondslag ook in uw verwerkingsregister. Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen. Dit is onderdeel van uw verantwoordingsplicht.

Grondslag toestemming

Baseert u uw verwerking op de grondslag toestemming? Dan zijn er enkele extra aandachtspunten.

Wilt u uw verwerking baseren op de grondslag toestemming? Bijvoorbeeld omdat u een nieuwsbrief wilt versturen? De Algemene verordening gegevensbescherming (AVG) stelt een aantal eisen aan geldige toestemming. Daar moet u dus op letten als u uw verwerking op de grondslag toestemming wilt baseren.

Eisen aan toestemming

In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Toestemming vragen

De Algemene verordening gegevensbescherming (AVG) schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt. Als u maar kunt aantonen dat u daadwerkelijk toestemming heeft gekregen.

Toestemming registreren

Alleen toestemming vragen is niet genoeg. U moet kunnen aantonen dat u daadwerkelijk toestemming heeft gekregen. Daarom is het aan te raden om de toestemming te registreren.

Toestemming intrekken

Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven.

Wat bijvoorbeeld niet mag: mensen kunnen online met één klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief schrijven als zij hun toestemming willen intrekken.

Zorg er dus voor dat mensen hun toestemming net zo eenvoudig kunnen intrekken als dat zij hun toestemming hebben gegeven.

Toestemming bij kinderen

Richt u zich op kinderen (onder de 16 jaar), bijvoorbeeld met een website of app? Of weet u dat veel kinderen er gebruik van maken? Dan moet u controleren of een van de ouders of verzorgers toestemming heeft gegeven. Toestemming van het kind zelf is niet geldig.

Let er ook op dat de AVG kinderen extra goed beschermt tegen marketing. Er gelden bijvoorbeeld strengere regels voor het opstellen van profielen.

Andere grondslagen

Let op: het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig zou hebben. Vaak kunt u uw verwerking baseren op een van de andere grondslagen. Dat biedt een stabielere basis voor uw gegevensverwerking, omdat toestemming kan worden ingetrokken.

Nee. Het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig zou hebben. De Algemene verordening gegevensbescherming (AVG) stelt strengere eisen aan toestemming dan de vorige privacywet, maar dat betekent niet dat u nu overal toestemming voor nodig heeft.

Misschien denkt u dat het geen kwaad kan om voor de zekerheid toestemming te vragen. Maar behalve dat u uw klanten dan onnodig lastig valt, is het ook voor uzelf niet handig.

Want als iemand toestemming weigert of zijn/haar toestemming later intrekt, mag u de gegevens van deze persoon niet meer verwerken.

Wilt u een stabiele basis voor uw gegevensverwerking, dan kunt u uw verwerking dus beter niet op toestemming baseren maar op een van de andere grondslagen. Voor u als mkb’er zal de grondslag meestal uitvoeren van een overeenkomst zijn.

Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de Algemene verordening gegevensbescherming (AVG). Onder deze gegevens vallen ook genetische gegevens en biometrische gegevens als deze herleidbaar zijn tot een persoon. We noemen deze gegevens bijzondere persoonsgegevens (AVG: bijzondere categorieën van persoonsgegevens).

Bijzondere persoonsgegevens volgens de AVG

De AVG ziet deze persoonsgegevens als bijzondere persoonsgegevens:

• persoonsgegevens waaruit ras of etnische afkomst blijkt;
• persoonsgegevens waaruit politieke opvattingen blijken;
• persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
• persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
• gegevens over iemands gezondheid;
• gegevens over iemands seksueel gedrag of seksuele gerichtheid;
• genetische gegevens;
• biometrische gegevens met het oog op de unieke identificatie van een persoon.

Genetische persoonsgegevens

Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig.

In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat is van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

Biometrische persoonsgegevens

Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt de informatie zo gevoelig.

In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking, waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukken.

Speciale regels voor strafrechtelijke persoonsgegevens

Let op: anders dan onder de Wet bescherming persoonsgegevens, zijn strafrechtelijke persoonsgegevens geen bijzondere persoonsgegevens. Voor strafrechtelijke persoonsgegevens gelden onder de AVG wel specifieke eisen.

Zie verder: Wanneer mag u strafrechtelijke persoonsgegevens verwerken?

Verwerking is meestal verboden

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

Zie verder: Wanneer mag u bijzondere persoonsgegevens verwerken?

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die uitzonderingen en grondslagen samen.

10 uitzonderingen in de AVG

In de Algemene verordening gegevensbescherming (AVG) staan 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod niet voor u geldt wanneer u zich kunt baseren op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én op een van de uitzonderingen op het verwerkingsverbod.

Van de 10 uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat u zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag.

De 10 uitzonderingen zijn:

• 1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens.
• 2. (alleen als het in een wet staat) De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht.
• 3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven.
• 4. U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van uw (oud)leden of personen met wie u regelmatig contact heeft gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
• 5. U verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt.
• 6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsbevoegdheid.
• 7. (alleen als het in een wet staat) De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
• 8. (alleen als het in een wet staat) De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
• 9. (alleen als het in een wet staat) De verwerking is noodzakelijk voor de volksgezondheid.
• 10. (alleen als het in een wet staat) De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.

De verwerking van strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

De eerste wettelijke uitzondering voor het verwerken van strafrechtelijke persoonsgegevens is dat de verwerking onder toezicht van de overheid staat. De tweede uitzondering is dat de verwerking is toegestaan bij nationaal recht. Het gaat dan om Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen bieden voor de rechten en vrijheden van de betrokken personen.

Let op: registers met strafrechtelijke veroordelingen mag u alleen bijhouden onder toezicht van de overheid.

Voor een volledig overzicht van de wettelijke uitzonderingen zie artikel 32 en 33 van de UAVG.

U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat iemand toestemming heeft gegeven om zijn of haar persoonsgegevens te verwerken. 

In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Eisen aan toestemming

Rechtsgeldige toestemming voldoet aan de volgende eisen:

Vrijelijk gegeven
U mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.

Ondubbelzinnig
Er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd
U moet mensen vooraf informeren over:

• de identiteit van u als organisatie;
• het doel van elke verwerking waarvoor u toestemming vraagt;
• welke persoonsgegevens u verzamelt en gebruikt;
• het recht dat zij hebben om de toestemming weer in te trekken.

U moet de informatie vóór het vragen van toestemming in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.

Specifiek
Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Heeft u meerdere doeleinden om gegevens te verwerken? Dan moet u de betrokkene hierover informeren en voor elk doel afzonderlijk toestemming vragen. Het doel mag niet gaandeweg veranderen.

Toestemming vragen

De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt. Als u maar kunt aantonen dat u daadwerkelijk toestemming heeft gekregen. 

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van een van hun ouders of verzorgers.

Toestemming intrekken

Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven. Zorg er dus voor dat mensen hun toestemming eenvoudig kunnen intrekken.

Wat bijvoorbeeld niet mag: mensen kunnen online met één klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief sturen als zij hun toestemming willen intrekken.

Verantwoordingsplicht

Wilt u zich baseren op de grondslag toestemming? Zorg er dan voor dat u kunt aantonen dat u die toestemming op de juiste manier heeft gevraagd en gekregen. Onder de AVG heeft u namelijk een verantwoordingsplicht.

Meer informatie over toestemming

Meer informatie over toestemming onder de AVG vindt u in de Guidelines toestemming van de Europese privacytoezichthouders.

U heeft alleen het recht om persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren.

U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is.

De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

Deze grondslag geldt óók voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

Soms heeft u toestemming nodig

Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn om de overeenkomst uit te voeren. Doet u dat wel? Dan moet u daarvoor rechtsgeldige toestemming of een andere grondslag hebben.

Voorbeeld: als u online een product verkoopt, moet u adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wilt u de persoonsgegevens daarnaast gebruiken om het koopgedrag van uw klant te analyseren? Dan moet u hiervoor rechtsgeldige toestemming hebben van uw klant.

Verantwoordingsplicht

Zijn de persoonsgegevens echt noodzakelijk voor de naleving van de overeenkomst met ieder betrokken individu? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

Guidelines

De Europese privacytoezichthouders hebben (Engelstalige) guidelines gepubliceerd over de grondslag overeenkomst bij online services.

Zie: Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects.

U heeft alleen het recht om persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is u wettelijk verplicht bent om persoonsgegevens te verwerken.

Noodzakelijkheid

Wilt u zich op deze grondslag baseren? Dan moet de verwerking van de persoonsgegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen.

Bijvoorbeeld: u heeft een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken. Of: u verstrekt gegevens voor de uitvoering van de belastingwetgeving.

Het hoeft niet expliciet in de wet te staan dat u persoonsgegevens moet verwerken om een specifieke taak uit te voeren. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.

Niet bij zeer algemene taak

Let op: u kunt zich niet op deze grondslag baseren als het gaat om een zeer algemene taak. Zoals het handhaven van de openbare orde. Daarvoor geldt een andere grondslag, namelijk de grondslag van algemeen belang of openbaar gezag.

Verantwoordingsplicht

Zijn de persoonsgegevens echt noodzakelijk voor het nakomen van een wettelijke verplichting? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

U heeft alleen het recht om persoonsgegevens te verwerken als zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat het noodzakelijk is om persoonsgegevens te verwerken om vitale belangen te beschermen. U kunt zich slechts in enkele gevallen op deze grondslag baseren.

Wat is een vitaal belang?

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om zijn of haar gegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.

Ter illustratie: bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het natuurlijk niet te doen om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.

Toegang door anderen

Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen verwerkt? Dan mag dat in principe alleen wanneer u de verwerking niet op een andere rechtsgrond kan baseren.

Verantwoordingsplicht

Is de verwerking van persoonsgegevens echt noodzakelijk voor de bescherming van de vitale belangen van ieder betrokken individu? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt beroepen op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat de verwerking van persoonsgegevens noodzakelijk is om een taak van algemeen belang uit te voeren of openbaar gezag uit te oefenen. Het gaat daarbij om wettelijke taken.

Taak die wettelijk is vastgelegd

Wilt u zich op deze grondslag beroepen? Dan kan dat alleen als u een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt om die specifieke wettelijke taak uit te oefenen.

Verwerking noodzakelijk

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Bijvoorbeeld: u zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid.

Type organisaties

U hoeft geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag. Ook andere organisaties die een taak van algemeen belang uitoefenen mogen zich op deze grondslag baseren. Bijvoorbeeld organisaties voor ontwikkelingssamenwerking.

U moet dan wel door de wet zijn aangewezen (bijvoorbeeld met een ministeriële regeling) om deze taak uit te voeren. U kunt dit dus niet zelf bepalen.

Verantwoordingsplicht

Zijn de persoonsgegevens echt noodzakelijk voor de vervulling van uw publieke taak? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Dat maakt deel uit van de verantwoordingsplicht die onder de AVG geldt.

U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat de verwerking van persoonsgegevens noodzakelijk is om uw gerechtvaardigd belang te behartigen.

Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de betrokkenen. Dat zijn de mensen van wie u gegevens verwerkt. Ieder mens heeft namelijk recht op privacy, dat is een grondrecht.

Maar als organisatie kunt u ook het recht aan uw kant hebben. Dat is zo als u een belang heeft dat de samenleving zó zwaarwegend vindt dat het erkenning heeft gevonden in het recht. En u dit belang alleen kunt behartigen door persoonsgegevens te verwerken. We noemen zo’n belang een gerechtvaardigd belang.

Botsing van rechten

Er ontstaat dan dus een situatie waarin uw recht ‘botst’ met het grondrecht van de betrokkenen. Het is dan aan u om deze rechten tegen elkaar af te wegen en te kijken wat zwaarder weegt, uw belang of dat van de betrokkenen.

Weegt uw belang uiteindelijk zwaarder? Dan mag u uw verwerking baseren op de grondslag (noodzakelijk voor de behartiging van een) gerechtvaardigd belang.

Zie verder: Hoe toetst u of u zich mag baseren op de grondslag gerechtvaardigd belang?

Meer informatie

Wilt u meer (achtergrond) informatie over deze grondslag? Zie dan de Normuitleg grondslag gerechtvaardigd belang van de Autoriteit Persoonsgegevens.

De Algemene verordening gegevensbescherming (AVG) schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u dit doet. Als u maar kunt aantonen dat u daadwerkelijk toestemming heeft gekregen.

Eisen aan toestemming

U moet wel rekening houden met de eisen die de AVG stelt aan geldige toestemming. Zo moet de toestemming uitdrukkelijk zijn gegeven, wat betekent dat u bijvoorbeeld geen voor-aangevinkte vakjes mag gebruiken.

Schriftelijke verklaring

Een van de manieren om toestemming te vragen is de betrokkene (degene van wie u gegevens wilt verwerken) een schriftelijke verklaring te laten invullen en ondertekenen.

Online verklaring

In een online omgeving kunt u de betrokkene vragen om toestemming te geven door bijvoorbeeld:

• een vakje aan te vinken;
• op een knop of een link te klikken;
• een elektronisch formulier in te vullen;
• een e-mail aan u te sturen;
• een elektronische handtekening te zetten;
• een gescand document te uploaden waarop zijn of haar handtekening staat.

Mondelinge verklaring

Een mondelinge verklaring kan ook voldoende zijn om geldige toestemming te krijgen. Maar hierbij kan het voor u moeilijk te bewijzen zijn dat u daadwerkelijk toestemming heeft gekregen.

U kunt bijvoorbeeld toestemming krijgen met een opgenomen telefoongesprek. U moet daarbij dan wel duidelijke informatie geven. En om een specifieke bevestiging vragen van de betrokkene. Bijvoorbeeld dat hij of zij een knop indrukt of duidelijk ‘ja’ of ‘nee’ zegt.

Verwerkt u persoonsgegevens gebaseerd op toestemming van de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft.

Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

Specifiek en geïnformeerd

Twee van de eisen die de AVG stelt aan toestemming zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.

Online toestemming

Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met:

• documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt;
• een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming.

Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk.

Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.

U heeft iemands uitdrukkelijke toestemming nodig als u bijzondere persoonsgegevens van hem of haar wilt verwerken.

Let op: bepaalt de wet al dat u bijzondere persoonsgegevens mag verwerken? Dan heeft u niet ook nog eens uitdrukkelijke toestemming nodig.

Bijzondere persoonsgegevens

Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen extra bescherming in de Algemene verordening gegevensbescherming (AVG). Bijvoorbeeld medische gegevens en biometrische gegevens. We noemen dit bijzondere persoonsgegevens.

Het is verboden om bijzondere persoonsgegevens te verwerken. Tenzij u zich kunt beroepen op 1 van de 10 uitzonderingen die in de AVG staan. Uitdrukkelijke toestemming van de betrokkene (degene van wie u gegevens wilt verwerken) is zo’n uitzondering.

Wat is uitdrukkelijke toestemming?

Uitdrukkelijke toestemming is een verzwaarde vorm van toestemming. Daarmee is uitdrukkelijke toestemming (artikel 9 AVG) iets anders dan de ‘normale’, ondubbelzinnige toestemming die een van de 6 grondslagen is om gegevens te mogen verwerken (artikel 6 AVG).

Voor uitdrukkelijke toestemming is meer vereist dan voor ondubbelzinnige toestemming. De term ‘uitdrukkelijk’ verwijst naar de manier waarop de betrokkene zijn of haar toestemming tot uitdrukking brengt.

Het betekent dat de betrokkene een uitdrukkelijke verklaring van toestemming moet geven. Zie verder: Hoe krijgt u uitdrukkelijke toestemming?

Overige eisen aan uitdrukkelijke toestemming

Verder gelden voor uitdrukkelijke toestemming dezelfde eisen als voor ‘normale’, ondubbelzinnige toestemming.

Ten eerste is uitdrukkelijke toestemming alleen geldig is als die in vrijheid is gegeven. Dat betekent onder meer het volgende:

• De betrokkenen mogen zich niet onder druk gezet voelen om toestemming te geven. Bent u werkgever? Dan zijn uw werknemers afhankelijk van u. En daardoor niet in een positie om in vrijheid toestemming te geven of weigeren.
• Iemand die weigert, mag hiervan geen nadelige gevolgen ondervinden. 

Verder moet de toestemming specifiek zijn, op voldoende informatie berusten en met een ondubbelzinnige, actieve handeling zijn gegeven.

Voor meer informatie, zie: Wanneer mag u zich baseren op de grondslag toestemming?

Wilt u persoonsgegevens van kinderen verwerken? En wilt u dat op basis van de grondslag toestemming doen? Dan is er een aantal punten waarop u moet letten.

Extra bescherming

De Algemene verordening gegevensbescherming (AVG) geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten.

Geldige toestemming

Kinderen jonger dan 16 jaar kunnen zelf geen geldige toestemming geven voor het verwerken van hun gegevens. Toestemming is alleen geldig als deze gegeven is door een van de ouders of verzorgers van een kind. En daarnaast aan de reguliere vereisten voor toestemming is voldaan.

Toestemming bij online verwerking

Verwerkt u gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders of verzorgers.

Deze eis geldt specifiek wanneer u een kind een aanbod doet dat valt onder ‘diensten van de informatiemaatschappij’. Dus als u persoonsgegevens van kinderen wilt gebruiken voor marketingdoeleinden of om persoonlijkheids- of gebruikersprofielen op te stellen. En ook als u persoonsgegevens over kinderen wilt verzamelen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.

Er is één uitzondering. Voor hulp- en adviesdiensten die rechtstreeks en gratis aan kinderen worden aangeboden, is geen toestemming van de ouders nodig.

Toestemming bij offline verwerking

Verwerkt u offline gegevens van kinderen? Bijvoorbeeld voor een bestelling in een fysieke winkel? Ook dit mag bij kinderen onder de 16 jaar alleen als een van de ouders of verzorgers hiervoor toestemming heeft gegeven.

Controleer wie toestemming heeft gegeven

Volgens de AVG bent u verplicht om een redelijke inspanning te leveren om te controleren of de toestemming is gegeven door een van de ouders of verzorgers van het kind. U moet dit kunnen aantonen wanneer de Autoriteit Persoonsgegevens daar om vraagt.

Let op: richt u zich op kinderen in een ander EU-land? De AVG biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. In Nederland geldt de leeftijdsgrens van 16 jaar.

Informatie over toestemming

De informatie die u geeft over de verwerking van persoonsgegevens moet eenvoudig, toegankelijk en begrijpelijk zijn voor het kind. Dus in duidelijke en eenvoudige taal en waar nodig met visuele ondersteuning.

Om uw verwerking te mogen baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang', moet u aan 3 voorwaarden voldoen. Hiermee toetst u of uw recht om persoonsgegevens te verwerken – omdat u een gerechtvaardigd belang heeft om dit te doen – zwaarder weegt dan het recht op privacy van de betrokkenen. Dat zijn de mensen van wie u gegevens verwerkt.

Voorwaarden grondslag gerechtvaardigd belang

De 3 voorwaarden zijn:

• 1. U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
• 2. De verwerking is noodzakelijk om dit belang te behartigen.
• 3. U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.

Voorwaarde 1: gerechtvaardigd belang

Uw belang is daadwerkelijk een gerechtvaardigd belang als het ergens in het recht is opgenomen. En wordt erkend en beschermd. Dat mag ook in een ongeschreven rechtsregel of rechtsbeginsel zijn.

Als het maar gaat om een belang waarvan we in de maatschappij hebben gevonden dat het door het recht beschermd moet worden. Voor voorbeelden van gerechtvaardigde belangen, zie: Wat zijn voorbeelden van gerechtvaardigde belangen?

Let op: wat niet kwalificeert als gerechtvaardigd belang, is bijvoorbeeld:

• een puur commercieel belang;
• winstmaximalisatie;
• het gedrag van werknemers volgen zonder legitieme reden;
• het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.

Heeft u géén gerechtvaardigd belang? Dan kunt u uw verwerking niet baseren op de grondslag gerechtvaardigd belang. En mag u de persoonsgegevens dus niet verwerken.

Voorwaarde 2: noodzakelijkheid

Heeft u daadwerkelijk een gerechtvaardigd belang? Dan moet u vervolgens kijken of de verwerking van persoonsgegevens noodzakelijk is om dit belang te behartigen. Dit doet u door na te gaan:

• Of het doel van uw verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen. In de AVG heet dit ‘proportionaliteit’.
• Of u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de betrokkenen. In de AVG heet dit ‘subsidiariteit’.

Voldoet u niet aan allebei deze eisen? Dan is uw verwerking niet noodzakelijk. En kunt u uw verwerking dus niet baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang'.

Voorwaarde 3: afweging belangen

Heeft u een gerechtvaardigd belang en is de gegevensverwerking noodzakelijk om dit belang te behartigen? Dan moet u tot slot een afweging maken tussen uw belangen en de belangen van de betrokkenen.

Bij deze afweging kijkt u naar:

• de gevolgen voor de betrokkenen;
• hoe ernstig de inbreuk is op de privacy van de betrokkenen;
• welke (aanvullende) maatregelen u heeft genomen om ongewenste gevolgen voor de betrokkenen te voorkomen of beperken;
• of de betrokkenen de verwerking min of meer kunnen verwachten, bijvoorbeeld als vervolg op een eerdere verwerking waarvoor zij toestemming hebben gegeven of als vervolg op verwerkingen die noodzakelijk zijn om een contract uit te voeren.

Let op: wilt u persoonsgegevens verwerken van kinderen (jonger dan 16 jaar)? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.

Uw afweging kan tot 2 conclusies leiden:

• De belangen van de betrokkene blijken zwaarder te wegen. U kunt uw verwerking hierdoor niet baseren op de grondslag van gerechtvaardigd belang. En u mag de gegevens dus niet verwerken.
• Uw belangen wegen zwaarder. U heeft hierdoor een grondslag om persoonsgegevens te verwerken. En u mag de gegevens dus wel verwerken.

Verantwoordingsplicht

Zijn de persoonsgegevens echt noodzakelijk voor de behartiging van uw gerechtvaardigd belang? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

Meer informatie

Wilt u meer (achtergrond) informatie over deze grondslag? Zie dan de Normuitleg grondslag gerechtvaardigd belang van de Autoriteit Persoonsgegevens.

Wilt u uw verwerking van persoonsgegevens baseren op de grondslag ‘noodzakelijk voor de behartiging van een gerechtvaardigd belang’? Dan is de eerste voorwaarde dat u daadwerkelijk een gerechtvaardigd belang heeft.

Voorbeelden gerechtvaardigd belang

Voorbeelden van een gerechtvaardigd belang zijn:

• een veilig en gezond leven hebben of eigendommen beschermen in een dreigende situatie;
• de privésfeer beschermen;
• inbreuken op een persoonlijkheids- of vermogensrecht tegengaan; 
• procederen en/of een rechtsvordering instellen, uitoefenen of onderbouwen;
• grensoverschrijdend gedrag in werkrelaties onderzoeken en beëindigen;
• fraude, oplichting of ander onrechtmatig gedrag tegengaan;
• iemand aansprakelijk stellen voor schade;
• bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten;
• computersystemen goed beveiligen en beschermen;
• zorgplichten nakomen voor werknemers en/of klanten;
• aan alle (zorg)verplichtingen voldoen die u heeft op basis van bijvoorbeeld het Burgerlijk Wetboek.

Let op: het belang moet hierbij wel (1) echt, (2) concreet en (3) rechtstreeks zijn. Dit houdt in dat: (1) het niet mag gaan om een mogelijk belang in de toekomst, waarvan u nog niet zeker bent, (2) u het belang duidelijk kunt verwoorden en (3) het gaat om een belang van uzelf, dus niet een algemeen belang van ‘de samenleving’ of iets dergelijks.

Géén gerechtvaardigd belang

Wat niet kwalificeert als gerechtvaardigd belang, is bijvoorbeeld:

• een puur commercieel belang;
• winstmaximalisatie;
• het gedrag van werknemers volgen zonder legitieme reden;
• het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.

Meer informatie

• Wanneer mag u zich baseren op de grondslag gerechtvaardigd belang?
• Hoe toetst u of u zich mag baseren op de grondslag gerechtvaardigd belang?
• Normuitleg grondslag gerechtvaardigd belang van de Autoriteit Persoonsgegevens

Nee. Als overheidsorganisatie kunt u zich bij het uitvoeren van uw wettelijke taken nooit baseren op de grondslag van gerechtvaardigd belang.

U moet zich op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.

U mag als overheidsorganisatie in de regel alleen gegevens verwerken om uw taken uit te voeren als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsorganisatie een rechtsgrond voor verwerkingen heeft.