Wat zijn de zes wettelijke grondslagen en wanneer zijn ze van toepassing?

januari 11, 2023

Artikel 6 van de AVG noemt zes ‘rechtsgronden’ voor de verwerking van persoonsgegevens.  Ten minste één van deze moet van toepassing zijn om gegevens rechtmatig te kunnen verwerken.  Zonder een wettelijke basis voldoen de organisatie en de verwerking niet aan de beginselen van rechtmatigheid en verantwoordingsplicht van artikel 5.

Als een organisatie niet kan aantonen dat een van de zes grondslagen van toepassing is, dan is de verwerking van die gegevens onrechtmatig….

Het is dus heel belangrijk!

  1. Toestemming

Om toestemming als wettelijke basis te gebruiken, moeten betrokkenen (dat zijn u en ik) ermee instemmen dat hun persoonlijke gegevens worden verwerkt.  Ze moeten een vrije keuze hebben over het al dan niet geven van hun toestemming.

  • Toestemmingsverzoeken moeten duidelijk, ondubbelzinnig en gescheiden van andere voorwaarden zijn
  • Individuen moeten zich actief aanmelden door een vakje aan te vinken, een document te ondertekenen, een bevestigend antwoord te geven op een mondelinge verklaring, enz.
  • Als zich een nieuw doel voor de verwerking voordoet, moet nieuwe toestemming worden gevraagd aan individuen
  • Toestemming moet net zo gemakkelijk in te trekken zijn als te geven
  • Bewijs van toestemming moet worden vastgelegd (wanneer, waar en hoe deze is gegeven)
  1. Overeenkomst

Gegevens kunnen worden verwerkt als de gegevens nodig zijn om een contract met de betrokkene uit te voeren. Het is aanvaardbaar om  de gegevens te verwerken voordat het contract wordt aangegaan (bijvoorbeeld het verstrekken van een verzekeringsofferte), op voorwaarde dat de informatie door de betrokkene is opgevraagd.

  • De verwerking moet “noodzakelijk” zijn. De verwerking moet een redelijk en proportioneel zijn om het doel te bereiken
  • Als de betrokkene jonger is dan 18 jaar, moet een organisatie ervoor zorgen dat de persoon voldoende bekwaam is om het contract aan te gaan
  • Het recht van de persoon om bezwaar te maken is niet van toepassing als “Overeenkomst” is bepaald als de wettelijke basis voor verwerking. Evenzo is het recht van het individu om niet te worden onderworpen aan een beslissing die uitsluitend op geautomatiseerde verwerking is gebaseerd, niet van toepassing
  1. Wettelijke verplichting

Als de verwerking van persoonsgegevens vereist is vanwege  een wettelijke verplichting, wordt dit beschouwd als een wettelijke basis op voorwaarde dat:

  • Het doel van de organisatie bij de verwerking is, om te voldoen aan de wettelijke verplichting
  • De wettelijke verplichting aanwijsbaar is in een specifieke wettelijk bepaling of regelgeving
  • De verwerking noodzakelijk is

Het recht van het individu op wissing, gegevensportabiliteit en het recht om bezwaar te maken, is niet van toepassing wanneer wettelijke verplichting wordt bepaald als de basis voor verwerking

  1. Vitale belangen

Als de gegevensverwerking in het vitale belang van de betrokkene is, dan is dit een wettelijke basis.  Deze basis is waarschijnlijk alleen van toepassing in medische noodsituaties waarin de verwerking van medische gegevens vereist is om het leven van een persoon of het leven van een andere persoon te beschermen, maar het individu niet in staat is om toestemming te geven.

Als het mogelijk is om de vitale belangen van de persoon op een alternatieve en minder ingrijpende manier te beschermen, dan is deze basis niet van toepassing.

U kunt deze basis niet gebruiken voor verwerking van gezondheidsgegevens- of andere bijzondere categorien van persoonsgegevens (zie artikel 9 van de AVG) als de persoon in staat is om zijn toestemming te geven, zelfs als hij weigert zijn toestemming te geven.

  1. Publieke taak

Als de verwerking van persoonsgegevens noodzakelijk is ‘in de uitoefening van een officiële taak’ of om een specifieke taak in het algemeen belang uit te voeren die in de wet is vastgelegd, dan mag dat.

  • Deze basis wordt meestal gebruikt door overheidsinstanties, maar kan ook van toepassing zijn op particuliere organisaties die taken uitvoeren ‘in het algemeen belang’.
  • De verwerking moet noodzakelijk zijn
  • In dit geval hebben individuen geen recht op wissing of gegevensportabiliteit
  1. Gerechtvaardigd belang

Gerechtvaardigd belang is misschien wel de meest flexibele wettelijke basis, maar organisaties die dit gebruiken, moeten  kunnen aantonen dat het belang om de gegevens van een persoon te verwerken niet strijdig zijn met de redelijke verwachtingen van het individu dat u dit doet.

Als gerechtvaardigd belang als basis wordt gebruikt, moet een driedelige afwegingstoets worden toegepast om dit te rechtvaardigen.  Bij het uitvoeren van de afwegingstest moet rekening worden gehouden met het volgende:

  1. Het vaststellen van een gerechtvaardigd belang:
    • Wat zijn de voordelen voor het bedrijf/individu/de bredere samenleving?
    • Hoe belangrijk zijn de voordelen?
    • Is het belang ethisch en rechtmatig?
  2. Noodzaak vaststellen
    • Is de verwerking redelijk en proportioneel?
    • Komt de verwerking het gerechtvaardigd belang ten goede?
  3. Belangen van individuen versus gerechtvaardigd belang:
  • Wegen de belangen van het individu zwaarder dan het gerechtvaardigd belang?
Documenteren van de wettelijke basis

Alleen wanneer kan worden aangetoond dat er een evenwicht is tussen de belangen van de betrokkene en de organisatie, kan gerechtvaardigd belang worden beschouwd als een wettelijke basis voor verwerking.

Zodra een organisatie een wettelijke basis heeft vastgesteld, moet dit worden vastgelegd in de privacyverklaring.

Impact op individuele rechten

De vastgestelde rechtsgrondslag is rechtstreeks van invloed op de rechten die een persoon met betrekking tot de gegevens kan uitoefenen. Onderstaande tabel geeft aan welke rechten kunnen worden uitgeoefend volgens de toegepaste wettelijke grondslag.

 Individuele Rechten
 Recht op gegevenswissingRecht op overdraagbaarheidRecht van bezwaar
Toestemming 
Contract ✓
Wettelijke verplichting ⤫
Vitaal belang ✓ ⤫
Publieke taak ⤫
Gerechtvaardigd belang
Beslissen over de wettelijke basis

Het aanwijzen van de juiste wettelijke basis voor verwerking van elk van uw datasets en de categorieën gegevens die ze bevatten, is niet eenvoudig.  Verschillende gegevensbeschermingsautoriteit bieden hier informatie over. Bijvoorbeeld, de Autoriteit Persoonsgegevens legt uit hoe omgegaan moet worden met gerechtvaardigd belang. Ook biedt de Engelse ICO een interactieve begeleidingstool, maar het nemen van de juiste beslissing vereist een grondig begrip van de vereisten van de verordening en de manier waarop de gegevens zullen worden gebruikt.  We raden u aan dat een voldoende gekwalificeerde externe functionaris voor gegevensbescherming (DPO) u helpt bij het nemen van deze beslissing, waarschijnlijk als onderdeel van een effectbeoordeling van uw bredere gegevenslandschap.  Voor verdere hulp kunt u contact met ons opnemen

Scroll naar boven