Selecteer een pagina

Persoonsgegevens mogen uitsluitend worden verwerkt als de verwerking een rechtmatige grondslag heeft. Je moet bepalen welke rechtmatige grondslag voor de verwerking van toepassing is. Als je de gegevensverwerking niet kunt baseren op minimaal één van deze grondslagen heb je niet het recht om de persoonsgegevens te verwerken.

In AVG artikel 6, lid 1 worden 6 wettelijke grondslagen voor het verwerken van persoonsgegevens benoemd:

  1. Toestemming van de betrokken persoon.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Je bent zelf verantwoordelijk om te beoordelen of je je voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.

Bijzondere en strafrechtelijke gegevens

Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij je voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

Persoonlijk gebruik

Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Verantwoordingsplicht

Zorg ervoor dat je goed kunt onderbouwen dat je de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.

Een organisatie mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene Verordening gegevensbescherming (AVG) kent 6 grondslagen.

Alleen als je de gegevensverwerking kunt baseren op minimaal één van deze grondslagen heb je het recht om de persoonsgegevens te verwerken.

Eén van die 6 grondslagen is ‘toestemming’. De AVG schrijft niet precies voor in welke vorm je toestemming moet vragen. Maar de manier waarop je toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.

  • Vrijelijk gegeven: je mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
  • Geïnformeerd: je moet mensen informeren over:
    1) de identiteit van de organisatie;
    2) het doel van elke verwerking waarvoor je toestemming vraagt;
    3) welke persoonsgegevens je verzamelt en gebruikt;
    4) het recht dat zij hebben om de toestemming weer in te trekken. Je moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat je duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien de organisatie bij de verwerking meerdere doeleinden heeft, dient de betrokkene hierover geinformeerd te worden. En de betrokkene moet voor elk doel afzonderlijk toestemming gevraagd worden. Het doel mag niet gaandeweg veranderen.
  • Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
  • Je moet kunnen aantonen dat je geldige toestemming hebt verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. Je mag de persoonsgegevens dan niet verwerken.

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

Verantwoordingsplicht

Als je je wilt baseren op de grondslag toestemming moet je er voor zorgen dat je kunt aantonen dat je die toestemming op de juiste manier hebt gevraagd en gekregen. Onder de AVG heb je namelijk een verantwoordingsplicht.

Load More