Grondslagen AVG uitgelegd

Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag u alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.

Op deze pagina

Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken. In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd. De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

Algemene informatie grondslagen AVG

U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De AP kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens verwerken.

De 6 grondslagen

In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:

  1. U heeft toestemming van de persoon om wie het gaat.
  2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
  4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
  6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Tip: grondslag vermelden

Heeft u een grondslag voor uw verwerking? Dan is het aan te raden dat u de grondslag vermeldt op de volgende plekken:

  1. In uw privacyverklaring. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan. Dit kan u helpen om aan uw informatieplicht te voldoen.
  2. In uw privacybeleid (als u dit heeft, want niet elke organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan uw verantwoordingsplicht te voldoen.
  3. Neem de grondslag eventueel ook op in uw verwerkingsregister.

Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen.

Uitzondering: bijzondere en strafrechtelijke gegevens

Let op: deze regels gelden alleen voor gewone persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

Persoonlijk gebruik

Verwerking van persoonsgegevens puur voor persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Grondslag toestemming

Een van de grondslagen in de AVG is dat mensen toestemming hebben gegeven om hun persoonsgegevens te verwerken. In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Lees verder: Grondslag toestemming

Grondslag overeenkomst

Een van die grondslagen in de AVG is dat het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren. Dit houdt het volgende in:

  • U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is.
  • De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.
  • Deze grondslag geldt ook voor een fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

Soms heeft u toestemming nodig

Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn om de overeenkomst uit te voeren. Doet u dat wel? Dan moet u daarvoor toestemming of een andere grondslag hebben.

Guidelines over grondslag overeenkomst

Voor meer informatie, zie de guidelines over de grondslag overeenkomst bij online services van de EDPB.

Grondslag wettelijke verplichting

Is de verwerking van de persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen? Dan kunt u zich op deze grondslag baseren.

Het hoeft niet expliciet in de wet te staan dat u persoonsgegevens moet verwerken om een specifieke taak uit te voeren. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.

Geen grondslag bij zeer algemene taak

U kunt zich niet op deze grondslag baseren als het gaat om een zeer algemene taak. Zoals het handhaven van de openbare orde. Daarvoor geldt een andere grondslag, namelijk de grondslag van algemeen belang of openbaar gezag.

Grondslag vitaal belang

U kunt zich maar in enkele gevallen op deze grondslag baseren.

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om gegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.

Toegang geven aan anderen

Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen verwerkt? Dan mag dat alleen wanneer u de verwerking niet op een andere rechtsgrond kunt baseren.

Grondslag algemeen belang of openbaar gezag

Is de verwerking noodzakelijk om een publieke taak uit te oefenen voor het algemeen belang of openbaar gezag? Dan kunt u zich op deze grondslag baseren. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt om die specifieke wettelijke taak uit te oefenen. 

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Bijvoorbeeld: u zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid.

Type organisaties

U hoeft geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag. Ook andere organisaties die een taak van algemeen belang uitoefenen, mogen zich op deze grondslag baseren. Bijvoorbeeld organisaties voor ontwikkelingssamenwerking.

U moet dan wel door de wet zijn aangewezen (bijvoorbeeld met een ministeriële regeling) om deze taak uit te voeren. U kunt dit dus niet zelf bepalen.

Grondslag gerechtvaardigd belang

Om uw verwerking te mogen baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang', moet u aan 3 voorwaarden voldoen. Hiermee toetst u of uw recht om persoonsgegevens te verwerken – omdat u een gerechtvaardigd belang heeft om dit te doen – zwaarder weegt dan iemands recht op privacy.

De 3 voorwaarden zijn:

  1. U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
  2. De verwerking is noodzakelijk om dit belang te behartigen.
  3. U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.

Voorwaarde 1: gerechtvaardigd belang

Uw belang is echt een gerechtvaardigd belang als het ergens in het recht is opgenomen. En wordt erkend en beschermd. Dat mag ook in een ongeschreven rechtsregel of rechtsbeginsel zijn. Als het maar gaat om een belang waarvan we in de maatschappij vinden dat het door het recht beschermd moet worden. 

Dit kwalificeert bijvoorbeeld niet als gerechtvaardigd belang:

  • een puur commercieel belang;
  • winstmaximalisatie;
  • het gedrag van werknemers volgen zonder legitieme reden;
  • het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.

Heeft u geen gerechtvaardigd belang? Dan kunt u uw verwerking niet baseren op deze grondslag.

Voorwaarde 2: noodzakelijkheid

Heeft u daadwerkelijk een gerechtvaardigd belang? Dan moet u vervolgens kijken of de verwerking van persoonsgegevens noodzakelijk is om dit belang te behartigen. Dit doet u door na te gaan:

  • Of het doel van uw verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen. In de AVG heet dit ‘proportionaliteit’.
  • Of u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de betrokkenen. In de AVG heet dit ‘subsidiariteit’.

Voldoet u niet aan allebei deze eisen? Dan is uw verwerking niet noodzakelijk. En kunt u uw verwerking dus niet baseren op deze grondslag.

Voorwaarde 3: afweging belangen

Heeft u een gerechtvaardigd belang en is de gegevensverwerking noodzakelijk om dit belang te behartigen? Dan moet u tot slot een afweging maken tussen uw belangen en de belangen van de betrokkenen.

Bij deze afweging kijkt u naar:

  • de gevolgen voor de betrokkenen;
  • hoe ernstig de inbreuk is op de privacy van de betrokkenen;
  • welke (aanvullende) maatregelen u heeft genomen om ongewenste gevolgen voor de betrokkenen te voorkomen of beperken;
  • of de betrokkenen de verwerking min of meer kunnen verwachten. Bijvoorbeeld als vervolg op een eerdere verwerking waarvoor zij toestemming hebben gegeven of als vervolg op verwerkingen die noodzakelijk zijn om een contract uit te voeren.

Uw afweging kan tot 2 conclusies leiden:

  • De belangen van de betrokkene blijken zwaarder te wegen. U kunt uw verwerking hierdoor niet baseren op de grondslag gerechtvaardigd belang. U mag de gegevens dus niet verwerken.
  • Uw belangen wegen zwaarder. U heeft hierdoor een grondslag om persoonsgegevens te verwerken. U mag de gegevens dus wel verwerken.

Bekijk ook de Normuitleg grondslag gerechtvaardigd belang van de AP.

Voorbeelden gerechtvaardigd belang

Een gerechtvaardigd belang kan bijvoorbeeld zijn:

  • een veilig en gezond leven hebben of eigendommen beschermen in een dreigende situatie;
  • de privésfeer beschermen;
  • inbreuken op een persoonlijkheids- of vermogensrecht tegengaan; 
  • procederen en/of een rechtsvordering instellen, uitoefenen of onderbouwen;
  • grensoverschrijdend gedrag in werkrelaties onderzoeken en beëindigen;
  • fraude, oplichting of ander onrechtmatig gedrag tegengaan;
  • iemand aansprakelijk stellen voor schade;
  • bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten;
  • computersystemen goed beveiligen en beschermen;
  • zorgplichten nakomen voor werknemers en/of klanten;
  • aan alle (zorg)verplichtingen voldoen die u heeft op basis van bijvoorbeeld het Burgerlijk Wetboek.

Het belang moet hierbij wel:

  1. Echt zijn. Dit houdt in dat het niet mag gaan om een mogelijk belang in de toekomst, waarvan u nog niet zeker bent.
  2. Concreet zijn. Dit houdt in dat u het belang duidelijk kunt verwoorden.
  3. Rechtstreeks zijn. Dit houdt in dat het gaat om een belang van uzelf, dus niet een algemeen belang van ‘de samenleving’ of iets dergelijks.

Speciale regels voor bijzondere persoonsgegevens

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering.  In de AVG staan 10 uitzonderingen.

Dat betekent dat het verbod niet voor u geldt wanneer u zich kunt baseren op een uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die uitzonderingen en grondslagen samen.

Van de 10 uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat u zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag.

De 10 uitzonderingen zijn:

  1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van de eigen persoonsgegevens.
  2. Alleen als het in een wet staat: De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht.
  3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om toestemming te geven.
  4. U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van uw (oud)leden of personen met wie u regelmatig contact heeft, gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
  5. U verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt.
  6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsprekende taken.
  7. Alleen als het in een wet staat: De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
  8. Alleen als het in een wet staat: De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
  9. Alleen als het in een wet staat: De verwerking is noodzakelijk voor de volksgezondheid.
  10. Alleen als het in een wet staat: De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.

Speciale regels voor strafrechtelijke gegevens

De verwerking van strafrechtelijke gegevens (AVG: persoonsgegevens van strafrechtelijke aard) is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op een van de grondslagen voor het verwerken van 'gewone' persoonsgegevens.

Dit zijn de 2 belangrijkste wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens:

  1. De verwerking staat onder toezicht van de overheid.
  2. De verwerking is toegestaan bij nationaal recht. Het gaat dan om Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen bieden voor de rechten en vrijheden van de betrokken personen.

Voor een volledig overzicht van de wettelijke uitzonderingen, zie artikel 32 en 33 van de Uitvoeringswet AVG (UAVG).