Gerechtvaardigd belang van de organisatie
Persoonsgegevens mogen worden verwerkt als dat nodig is voor het gerechtvaardigde belang van de organisatie of een derde, zolang de rechten en vrijheden van de
betrokken personen niet zwaarder wegen. Hiervoor zijn drie voorwaarden die samen moeten worden vervuld:
• Gerechtvaardigd belang: Er moet een duidelijk belang zijn voor de organisatie of een derde.
• Noodzakelijkheid: Het verwerken van de persoonsgegevens moet echt nodig zijn voor dat belang.
• Afweging van belangen: De rechten en vrijheden van de persoon mogen niet belangrijker zijn dan het belang van de organisatie.
Een zorgvuldige afweging is nodig om te bepalen of het gerechtvaardigde belang geldt, en of de persoon kan verwachten dat zijn gegevens voor dat doel worden verwerkt.
Bij het verwerken van persoonsgegevens op basis van een gerechtvaardigd belang, moet je altijd een zorgvuldige afweging maken tussen jouw belangen en de rechten,
vrijheden en belangen van de betrokkenen. Hoe gevoeliger de gegevens, hoe meer de rechten van de betrokkene tellen. Maar als je sterke beveiligingsmaatregelen hebt,
kun je je makkelijker beroepen op een gerechtvaardigd belang.
Daarnaast moet je duidelijk uitleggen welk belang je nastreeft en deze informatie beschikbaar stellen aan de betrokkenen. Betrokkenen hebben altijd het recht om
bezwaar te maken tegen de verwerking van hun gegevens op basis van gerechtvaardigd belang, tenzij er dwingende redenen zijn die zwaarder wegen, zoals juridische
verplichtingen.
Sluiten of uitvoeren van een overeenkomst
Als je een overeenkomst met iemand hebt, mag je de persoonsgegevens van die persoon verwerken als dat nodig is om de overeenkomst uit te voeren. Dit geldt alleen als
de persoon zelf ook deel uitmaakt van de overeenkomst. De overeenkomst hoeft niet specifiek over persoonsgegevens te gaan, maar het verwerken van de gegevens moet
wel nodig zijn om de afspraken na te komen. Bijvoorbeeld, als je een product wilt leveren of een dienst wilt verlenen, en dit kan niet zonder het verwerken van
persoonsgegevens, dan mag dat. Hetzelfde geldt voor arbeidsovereenkomsten, waarbij bepaalde gegevens nodig zijn om het contract op te stellen
Uitvoeren van een wettelijke (ver)plicht(ing)
Je mag persoonsgegevens verwerken als dat nodig is om te voldoen aan een wettelijke verplichting die is vastgelegd in de wet van de EU of een EU-lidstaat. Deze wet moet
ook duidelijk maken waarom de gegevens worden verwerkt. Een verplichting kan nooit komen van een wet uit een land buiten de EU. Daarnaast moet je als organisatie
onder deze wet vallen om persoonsgegevens op deze grondslag te mogen verwerken. Een voorbeeld is de wettelijke verplichting voor werkgevers om volgens de Wet op de
loonbelasting een kopie van het identiteitsbewijs van hun personeel te bewaren in de loonadministratie.
Algemeen belang of voor het uitoefenen van openbaar gezag
Je mag persoonsgegevens verwerken als dat nodig is voor het uitvoeren van een taak in het algemeen belang of voor het uitoefenen van openbaar gezag, dat aan jouw
organisatie is toegekend. Deze verwerking moet gebaseerd zijn op een wet van de EU of een EU-lidstaat, waarin duidelijk staat wat het doel van de verwerking is. De wet
moet ook aangeven welke organisatie verantwoordelijk is voor de uitvoering van deze taak of het openbaar gezag. Dit kan zowel een overheidsinstantie als een
privéorganisatie zijn.
Beschermen vitaal belang van betrokkene
Je mag persoonsgegevens verwerken als dat nodig is om iemands leven of gezondheid te beschermen, bijvoorbeeld wanneer hulpverleners gegevens moeten gebruiken
om iemand in een noodsituatie medische hulp te geven.
Deze grondslag mag alleen worden gebruikt als er geen andere manier is, zoals toestemming vragen. Dit geldt bijvoorbeeld wanneer iemand bewusteloos is en geen
toestemming kan geven. In zo’n geval mogen de persoonsgegevens worden verwerkt om de vitale belangen van de persoon te beschermen.
Toestemming van betrokkene(n)
Je mag persoonsgegevens verwerken als de persoon hiervoor toestemming heeft gegeven, maar deze toestemming moet aan drie belangrijke voorwaarden voldoen:
1. Vrij gegeven toestemming: De toestemming moet zonder dwang of druk worden gegeven. De persoon moet een echte keuze hebben. Als iemand het gevoel
heeft dat hij geen andere optie heeft of negatieve gevolgen zal ondervinden als hij geen toestemming geeft, is de toestemming niet vrij. Dit speelt vooral in
situaties waar er een machtsverhouding is, zoals tussen een werkgever en werknemer, of tussen overheid en burger. In deze gevallen is het lastig om aan te
nemen dat toestemming vrijwillig is gegeven, en mag je de verwerking dus niet baseren op toestemming. Daarnaast mag je een dienst of overeenkomst niet
afhankelijk maken van toestemming voor extra gegevensverwerkingen die niet strikt noodzakelijk zijn. Dit wordt ‘bundelen’ genoemd en kan de vrijwilligheid van
de toestemming onder druk zetten.
2. Specifieke en geïnformeerde toestemming: De persoon moet goed begrijpen waarvoor hij toestemming geeft. Je moet duidelijk en begrijpelijk uitleggen
waarom je de persoonsgegevens verwerkt, wat je ermee gaat doen, hoe lang je ze bewaart, met wie je de gegevens deelt, en of je de gegevens naar andere landen
(buiten de EU) stuurt. De persoon moet voldoende informatie krijgen om een weloverwogen besluit te nemen. Toestemming moet altijd voor een specifiek doel
worden gegeven en je mag de gegevens niet voor iets anders gebruiken zonder opnieuw toestemming te vragen.
3. Ondubbelzinnige toestemming: Het moet heel duidelijk zijn dat de persoon toestemming heeft gegeven. Dit kan door een duidelijke, actieve handeling, zoals het
zelf aanvinken van een vakje om akkoord te gaan. Automatisch aangevinkte vakjes of stilzwijgende instemming (‘opt-out’) tellen niet als geldige toestemming. Er
mag geen twijfel bestaan over wat de persoon wil. Als bijvoorbeeld een vakje al standaard is aangevinkt, dan is er geen zekerheid dat de betrokkene bewust heeft
ingestemd, omdat hij het vinkje misschien niet heeft opgemerkt. Toestemming kan dus alleen blijken uit een actieve handeling, en niet uit niet-handelen of
stilzwijgen.
Naast deze drie voorwaarden zijn er nog aanvullende eisen volgens de AVG. Zo moet je als verwerkingsverantwoordelijke kunnen aantonen dat de persoon daadwerkelijk
toestemming heeft gegeven. Ook moet de persoon altijd de mogelijkheid hebben om zijn toestemming in te trekken. Dit intrekken moet net zo gemakkelijk zijn als het
geven van toestemming. Wanneer toestemming is ingetrokken, mag je de persoonsgegevens niet langer verwerken op basis van deze grondslag.
Kortom, toestemming voor het verwerken van persoonsgegevens moet altijd vrijwillig, specifiek, goed geïnformeerd en duidelijk zijn, en de persoon moet altijd de
mogelijkheid hebben om van gedachten te veranderen.
