Vergroot contrast
  1. AVG voor het mkb
  2. Stap 2: Bepaal of u deze gegevens mag gebruiken

Stap 2: Bepaal of u deze gegevens mag gebruiken

Elke keer als een bedrijf of organisatie persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mogen bedrijven en organisaties niet zomaar persoonsgegevens verwerken.

Dat geldt ook voor u als ondernemer in het mkb. U mag alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.

Grondslag nodig

U moet dus een goede reden hebben om gegevens te verwerken. Maar die reden mag u niet zelf bedenken. Dus bijvoorbeeld niet: ‘omdat het handig is’.

In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd om gegevens te verwerken.

Dit zijn de enige redenen die geldig zijn. De juridische naam voor die redenen is grondslagen.

U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

1 grondslag per doel

Let op: u heeft voor elk doel waarvoor u gegevens verwerkt een aparte grondslag nodig.

Bijvoorbeeld: u verwerkt adresgegevens van uw klanten om bestellingen te leveren. Daarvoor heeft u een grondslag nodig.

En u verwerkt e-mailadressen om uw klanten een nieuwsbrief te versturen. Daarvoor heeft u een aparte grondslag nodig.

U kunt dus niet al uw verwerkingen op een hoop gooien en daarvoor 1 grondslag kiezen.

Welke grondslag?

Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer. Lees verder: 

Meer informatie grondslagen

Wilt u meer weten over wanneer u wel en niet persoonsgegevens mag verwerken? En over de grondslagen uit de AVG?

Kijk dan in het uitgebreide AVG-dossier: Mag u persoonsgegevens verwerken?

Door naar stap 3

Heeft u de grondslag bepaald voor elk van uw verwerkingen? Dan kunt u verder met stap 3: Maak een overzicht van alle gegevens.

Bekijk binnen het onderwerp Stap 2: Bepaal of u deze gegevens mag gebruiken

Alle antwoorden op mijn vragenVragen over persoonsgegevens & grondslagen

  • Hoe bepaalt u als ondernemer of u persoonsgegevens mag verwerken?

    Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Als ondernemer in het mkb mag u daarom, net als elke andere organisatie, niet zomaar persoonsgegevens verwerken. Dat mag alleen als het echt niet anders kan. U moet dus een goede reden hebben.

    Grondslag nodig

    In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd om gegevens te verwerken. De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

    Grondslagen voor mkb

    Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer:

    Overeenkomst
    De meest voorkomende grondslag zal zijn dat u gegevens nodig heeft om een overeenkomst uit te voeren. Bijvoorbeeld als u een webwinkel heeft en een klant iets bij u bestelt. U heeft dan het adres van de klant nodig om het product te kunnen versturen.

    Deze grondslag geldt óók voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

    Zie verder: Wanneer mag u zich baseren op de grondslag uitvoering overeenkomst?

    Wettelijke verplichting
    Soms moet u persoonsgegevens verwerken omdat u dit wettelijk verplicht bent. Bijvoorbeeld: u moet gegevens verstrekken voor de uitvoering van de belastingwetgeving. 

    Zie verder: Wanneer mag u zich baseren op de grondslag wettelijke verplichting?

    Toestemming
    U mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan u misschien denkt. U hoeft dus zeker niet overal toestemming voor te vragen.

    Zie verder:

    Gerechtvaardigd belang
    U mag persoonsgegevens verwerken als dat noodzakelijk is om uw gerechtvaardigd belang te behartigen. Bijvoorbeeld als u fraude binnen uw bedrijf wil bestrijden.

    Zie verder: Wanneer mag u zich baseren op de grondslag gerechtvaardigd belang?

    Grondslag zelf bepalen

    U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De Autoriteit Persoonsgegevens (AP) kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens te verwerken.

    Uitzondering: bijzondere en strafrechtelijke gegevens

    Let op: deze regels gelden alleen voor ‘gewone’ persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

  • Hoe weet u welke grondslag van toepassing is?

    Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer in het mkb. U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid.  

    U bepaalt de grondslag voordat u begint met gegevens te verwerken. Kunt u geen grondslag vinden die past bij wat u met de gegevens wilt doen? Dan mag u de gegevens niet verwerken.

    Overeenkomst

    De meest voorkomende grondslag zal zijn dat u gegevens nodig heeft om een overeenkomst uit te voeren.

    Bijvoorbeeld als u een webwinkel heeft en een klant iets bij u bestelt. U heeft dan het adres van de klant nodig om het product te kunnen versturen.

    Deze grondslag geldt óók voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

    Zie verder: Wanneer mag u zich baseren op de grondslag uitvoering overeenkomst?

    Wettelijke verplichting

    Soms moet u persoonsgegevens verwerken omdat u dit wettelijk verplicht bent. Bijvoorbeeld: u moet gegevens verstrekken aan de Belastingdienst. 

    Zie verder: Wanneer mag u zich baseren op de grondslag wettelijke verplichting?

    Toestemming

    U mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan u misschien denkt. U hoeft dus zeker niet overal toestemming voor te vragen.

    Zie verder:

    Gerechtvaardigd belang

    U mag persoonsgegevens verwerken als dat noodzakelijk is om uw gerechtvaardigd belang te behartigen. Bijvoorbeeld als u fraude binnen uw bedrijf wilt bestrijden.

    Zie verder: Wanneer mag u zich baseren op de grondslag gerechtvaardigd belang?

    Uitzondering: bijzondere en strafrechtelijke gegevens

    Let op: deze regels gelden alleen voor ‘gewone’ persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens?

    Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

    Zie verder

  • Wat moet u verder doen als u een grondslag heeft?

    Heeft u een grondslag gevonden? Dan bent u al goed op weg. Maar u bent nog niet klaar.

    U moet de grondslag op 2 plekken registreren. Namelijk in uw privacyverklaring en in uw verwerkingsregister.

    Lees verder:

  • Wat moet u verder doen als u een grondslag heeft voor de verwerking?

    Heeft u een grondslag om waarop u uw verwerking van persoonsgegevens kunt baseren? Dan heeft u het recht om ‘gewone’ persoonsgegevens te verwerken. Maar u moet dat wel zorgvuldig doen. Daarom is het belangrijk dat u de grondslag registreert.

    Dit doet u in uw privacyverklaring en in uw verwerkingsregister. Zorg er ook voor dat u goed kunt onderbouwen waarom deze grondslag op uw verwerking van toepassing is.

    Privacyverklaring

    U heeft de plicht om mensen te informeren over de verwerking van hun persoonsgegevens. De meeste bedrijven doen dit via een online privacyverklaring.

    Zet in uw privacyverklaring op basis van welke grondslag u persoonsgegevens verwerkt. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan.

    Verwerkingsregister

    Registreer de grondslag ook in uw verwerkingsregister. Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen. Dit is onderdeel van uw verantwoordingsplicht.

    Grondslag toestemming

    Baseert u uw verwerking op de grondslag toestemming? Dan zijn er enkele extra aandachtspunten.

  • Waar moet u op letten bij de grondslag toestemming?

    Wilt u uw verwerking baseren op de grondslag toestemming? Bijvoorbeeld omdat u een nieuwsbrief wilt versturen? De Algemene verordening gegevensbescherming (AVG) stelt een aantal eisen aan geldige toestemming. Daar moet u dus op letten als u uw verwerking op de grondslag toestemming wilt baseren.

    Eisen aan toestemming

    In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

    Toestemming vragen

    De Algemene verordening gegevensbescherming (AVG) schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt. Als u maar kunt aantonen dat u daadwerkelijk toestemming heeft gekregen.

    Toestemming registreren

    Alleen toestemming vragen is niet genoeg. U moet kunnen aantonen dat u daadwerkelijk toestemming heeft gekregen. Daarom is het aan te raden om de toestemming te registreren.

    Toestemming intrekken

    Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven.

    Wat bijvoorbeeld niet mag: mensen kunnen online met één klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief schrijven als zij hun toestemming willen intrekken.

    Zorg er dus voor dat mensen hun toestemming net zo eenvoudig kunnen intrekken als dat zij hun toestemming hebben gegeven.

    Toestemming bij kinderen

    Richt u zich op kinderen (onder de 16 jaar), bijvoorbeeld met een website of app? Of weet u dat veel kinderen er gebruik van maken? Dan moet u controleren of een van de ouders of verzorgers toestemming heeft gegeven. Toestemming van het kind zelf is niet geldig.

    Let er ook op dat de AVG kinderen extra goed beschermt tegen marketing. Er gelden bijvoorbeeld strengere regels voor het opstellen van profielen.

    Andere grondslagen

    Let op: het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig zou hebben. Vaak kunt u uw verwerking baseren op een van de andere grondslagen. Dat biedt een stabielere basis voor uw gegevensverwerking, omdat toestemming kan worden ingetrokken.

  • Is het niet beter om voor de zekerheid altijd toestemming te vragen?

    Nee. Het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig zou hebben.

    Maak het uzelf dus niet onnodig moeilijk. En val uw klanten niet onnodig lastig.

    Lees verder:

  • Mag u de gegevens van uw klanten gebruiken voor direct marketing?

    Dat hangt af van het soort direct marketing. Er gelden verschillende regels voor digitale direct marketing, telemarketing en reclamepost.

    Toestemming

    Soms heeft u toestemming nodig van uw klant voor direct marketing, soms niet. In alle gevallen geldt dat direct marketing zonder toestemming van uw klant alléén mag als diegene daadwerkelijk klant van u is en het gaat om reclame voor uw eigen, soortgelijke producten of diensten.

    U mag dus geen reclame (mee)sturen van een ander bedrijf. Of voor producten of diensten die heel anders zijn dan wat uw klant eerder bij u heeft gekocht.

    Digitale direct marketing

    U mag uw klant benaderen via bijvoorbeeld e-mail, sms of app zonder hiervoor eerst toestemming te vragen. Tenzij diegene heeft aangegeven dit niet te willen.

    Telemarketing

    U mag uw klant bellen met een reclameaanbod zonder hiervoor eerst toestemming te vragen. Tenzij diegene heeft aangegeven dit niet te willen.

    Reclamepost

    Wilt u uw klant reclamepost sturen, dan gebruikt u de contactgegevens van uw klant voor een ander doel dan waarvoor u deze gegevens oorspronkelijk heeft verzameld.

    Daarom moet u eerst toetsen of het gebruik van de gegevens verenigbaar is. Zo ja, dan mag u reclamepost sturen zonder hiervoor eerst om toestemming te vragen. Zo niet, dan heeft u toestemming nodig.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden