Een organisatie mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene Verordening gegevensbescherming (AVG) kent 6 grondslagen.

Alleen als je de gegevensverwerking kunt baseren op minimaal één van deze grondslagen heb je het recht om de persoonsgegevens te verwerken.

Eén van die 6 grondslagen is ‘uitvoering van een overeenkomst’.

Je mag je op deze grondslag baseren als je een overeenkomst hebt met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

Soms heb je toestemming nodig

Let op dat je geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Doet je dat wel? Dan moet je daarvoor rechtsgeldige toestemming hebben gevraagd en gekregen of een andere grondslag kunnen toepassen.

Voorbeeld: als je online een product verkoopt, moet je adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Als je de persoonsgegevens daarnaast ook nog wilt gebruiken om het koopgedrag van iemand te analyseren moet je hiervoor rechtsgeldige toestemming hebben van de betrokken persoon.

Verantwoordingsplicht

Zijn de persoonsgegevens echt noodzakelijk voor de naleving van de overeenkomst met ieder betrokken individu? Zorg ervoor dat je goed kunt onderbouwen dat je je op deze grondslag mag baseren. Onder de AVG heb je namelijk een verantwoordingsplicht.