AVG: de grondslagen voor het verwerken van persoonsgegevens

AVG: de grondslagen voor het verwerken van persoonsgegevens In de Algemene verordening gegevensbescherming (AVG) staan de belangrijkste regelingen omtrent de privacywetgeving, oftewel de regels voor het omgaan met persoonsgevoelige informatie van betrokkenen. Sinds 25 mei 2018 geldt met deze verordening in alle landen van de EU dezelfde privacywetgeving. Een doel van de AVG is het toekennen van meer verantwoordelijkheden aan organisaties met betrekking tot het beschermen en verwerken van persoonsgegevens. Zo verplicht de AVG organisaties om alleen dan persoonsgegevens te verwerken indien een van de zes grondslagen van toepassing is. Indien een organisatie in strijd handelt met een regeling uit de AVG, dan kan deze organisatie een boete opgelegd krijgen van de Europese privacy-toezichthouder welke op kan lopen tot in de miljoenen euro's.

AVG: de grondslagen voor de verwerking van persoonsgegevens


Wanneer mag een organisatie persoonsgegevens verwerken?

De AVG beschrijft in totaal zes grondslagen voor op basis waarvan een organisatie persoonsgegevens kan of mag verwerken. Een voorbeeld van een grondslag uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken is de toestemming die iemand aan de organisatie heeft verleend. De zes AVG-grondslagen beschrijven de voorwaarden en het doel waar een organisatie aan dient te voldoen, alvorens het op basis van de betreffende grondslag persoonsgegevens kan gaan verwerken. Er zijn meerdere categorieën van persoonsgegevens en de enige categorie van persoonsgegevens die een organisatie mag verwerken is de categorie van 'gewone' persoonsgegevens. Een organisatie mag dus geen 'bijzondere' of 'strafrechtelijke' persoonsgegevens verwerken.

Specifiek doel

Een organisatie mag alleen persoonsgegevens verwerken indien daarmee een specifiek doel wordt gediend. Dit doel dient uitdrukkelijk te zijn vastgelegd. Dit kan bijvoorbeeld zijn in een wettelijke bepaling, welke een omschrijving geeft van het specifieke doel, of in een formulier, waar een betrokkene de betreffende organisatie voor het specifieke doel toestemming geeft om persoonsgegevens te verwerken. Een voorbeeld van een specifiek doel is het opslaan van medische gegevens over een patiënt door een huisartsenpraktijk; deze gegevens zijn voor een huisarts van groot belang voor het verlenen van geschikte zorg aan een patiënt.

Grondslagen voor het verwerken van persoonsgegevens

De Europese privacywetgeving beschrijft zes grondslagen op basis waarvan een organisatie persoonsgegevens mag verwerken:

Toestemming van de betrokkene

"De toestemming die de betrokkene oftewel consument aan de organisatie heeft gegeven om voor één of meerdere specifieke doeleinden persoonsgegevens te mogen verwerken."

Eén van de grondslagen uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken, is de toestemming die iemand daarvoor aan een organisatie verleent. Een organisatie dient de verwerkte persoonsgegevens altijd toe te passen voor een specifiek doel waarvoor de betrokkene de organisatie toestemming heeft verleend. Wanneer de persoonsgegevensverwerking van een organisatie meerdere doelen dient, dan is voor elk van deze specifieke doelen een afzonderlijke toestemming vereist van de betrokkene. Een uitzondering is wanneer een wettelijke bepaling de organisatie verplicht stelt om persoonsgegevens te verwerken. In alle overige gevallen is de toestemming van een betrokkene vereist.

Toestemming intrekken: het recht op vergetelheid

Het 'recht op vergetelheid' is één van de 8 AVG-privacyrechten en heeft sinds 25 mei 2018 gelding gekregen in de Europese lidstaten. Het recht op vergetelheid is in andere woorden te omschrijven als het 'recht op het wissen van persoonsgegevens', en stelt dat iemand de aan een organisatie verleende toestemming voor persoonsgegevensverwerking kan intrekken. Hiermee veronderstelt dit recht dat de betreffende organisatie wegens een eerder verleende toestemming door de betrokkene is overgegaan tot persoonsgegevensverwerking van deze betrokkene.

Verantwoordingsplicht

Een organisatie moet kunnen aantonen dat een betrokkene de organisatie voor een specifiek doel toestemming heeft verleend om zijn/haar persoonsgegevens te verwerken. Een organisatie dient daarbij te kunnen aantonen op welke wijze de toestemming van een betrokkene is verkregen. Dit maakt volgens de AVG onderdeel uit van de zogenaamde verantwoordingsplicht waar organisaties die persoonsgegevens verwerken zich aan dienen te houden.

Noodzaak voor de uitvoering van een overeenkomst

"De noodzaak voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om maatregelen te nemen op verzoek van de betrokkene voor de sluiting van een overeenkomst."

Een andere grondslag op basis waarvan een organisatie volgens de AVG persoonsgegevens mag verwerken, is wanneer de uitvoering van een overeenkomst het voor een organisatie noodzakelijk maakt om over te gaan tot persoonsgegevensverwerking van een betrokkene. In dat geval hoeft een organisatie de betrokkene niet eerst om toestemming te vragen. De noodzakelijkheid voor de verwerking van persoonsgegevens bestaat wanneer het voor een organisatie niet mogelijk is om zonder deze verwerking de afspraken uit een overeenkomst na te kunnen komen; slechts dan is de persoonsgegevensverwerking noodzakelijk voor de uitvoering van een overeenkomst. Als de verwerking van persoonsgegevens van een betrokkene niet noodzakelijk is voor het kunnen nakomen van de overeenkomst die een organisatie met de betrokkene gesloten heeft, of de maatregelen die de organisatie hiervoor dient te nemen, dan dient de betrokkene de organisatie hier specifiek en afzonderlijk toestemming voor te geven.

Noodzaak om te voldoen aan een wettelijke verplichting van de organisatie

"De noodzaak om te voldoen aan een wettelijke verplichting van de organisatie."

In sommige gevallen is een organisatie wettelijk verplicht om bepaalde persoonsgegevens te bewaren, wat betekent dat de organisatie volgens de wet verplicht is om deze persoonsgegevens te verwerken. Dit is bijvoorbeeld op basis van een wettelijke bewaartermijn. In het geval een wettelijke verplichting geldt voor een organisatie om persoonsgegevens te verwerken, dan hoeft een betrokkene voor het verwerken van deze persoonsgegevens niet om toestemming te worden gevraagd.

Noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon

"De noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon."

Een vitaal belang betreft de gezondheid of het leven van een betrokkene of een ander persoon. In het geval dat het gaat om de verwerking van persoonsgegevens in een situatie waar iemands leven gered wordt, en de betrokkene zelf niet om toestemming gevraagd kan worden, hoeft de organisatie de betrokkene geen toestemming voor het verwerken van de persoonsgegevens te vragen. Deze grondslag is vooral van belang voor de uitoefening van de taken en werkzaamheden van hulpverleners in de medische sector.

Noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie

"De noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie."

Een organisatie kan belast zijn met publieke taken die wettelijk staan vastgelegd en waarvoor het noodzakelijk is dat de organisatie overgaat tot de verwerking van persoonsgegevens. In dit geval hoeft een betrokkene niet eerst om toestemming gevraagd te worden. De gegevens die worden verwerkt dienen slechts te worden toegepast voor het specifieke doel voor zover deze voortvloeit uit de omschrijving in de wet.

Noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde

"De noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde, tenzij de rechten en vrijheden of belangen op het gebied van gegevensbescherming van een betrokkene zwaarder wegen."

Als de verwerking van persoonsgegevens noodzakelijk is voor het uitoefenen van de taken en werkzaamheden van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens.

Uitzondering: soms extra grondslag vereist uit lidstatelijk recht of Unierecht

Een uitzondering op de regel dat één van de zes grondslagen uit de AVG van toepassing dient te zijn voordat een organisatie persoonsgegevens mag verwerken, vormen de gevallen waarin een organisatie pas persoonsgegevens mag gaan verwerken wanneer sprake is van zowel een AVG-grondslag als een (extra) grondslag uit het Unierecht of lidstatelijk recht. De persoonsgegevensverwerking slechts baseren op een grondslag uit de AVG is in die gevallen dus niet genoeg. In deze gevallen kan de grondslag uit de AVG worden gezien als een soort 'algemene' grondslag op basis waarvan een organisatie de persoonsgegevens van een betrokkene verwerkt, en daaraan wordt een meer 'specifieke' grondslag gekoppeld uit het lidstatelijk recht of Unierecht. Zo een grondslag in het Unierecht of lidstatelijk recht beschrijft bijvoorbeeld de nadere voorwaarden waaraan een organisatie moet voldoen om persoonsgegevens te mogen verwerken. Daarbij dient de grondslag uit het lidstatelijk of Unierecht het specifieke doel van de verwerking van de persoonsgegevens vast te stellen. Ook bepaalt het lidstatelijk recht of Unierecht in dat geval het type van de organisatie; een organisatie kan worden aangemerkt als een 'publiekrechtelijke' of als een 'privaatrechtelijke' organisatie.

De uitzonderingsgevallen waar een organisatie de persoonsgegevensverwerking op zowel een AVG-grondslag als op een grondslag uit het lidstatelijk recht of Unierecht dient te baseren, zijn:
  • De wettelijke verplichting van een organisatie om persoonsgegevens te verwerken.
  • De vervulling van een taak van het algemeen belang door een organisatie.
  • De uitoefening van het openbaar gezag door een organisatie.

Wat gebeurt er indien een organisatie niet voldoet aan een van de regelingen uit de AVG?

Indien een organisatie niet voldoet aan bepaalde regels uit de Europese privacywetgeving, dan kan deze een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De AP ziet toe op de naleving van de privacywetgeving en waarborgt daarmee het recht op bescherming van persoonsgegevens in Nederland. De boete die de AP aan een organisatie kan opleggen in het geval van niet nakoming van de Europese privacywetgeving, kan oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van de organisatie (wat meer kan bedragen). De ernst van het niet nakomen van de verplichting of grondslag hangt samen met de hoogte van de boete die de AP hiervoor kan opleggen.

Er zijn twee overtredingen die een organisatie kan begaan met betrekking tot het niet nakomen van een van de regelingen uit de AVG:

Niet nakomen AVG-verplichting

Indien een organisatie persoonsgegevens verwerkt waarbij deze een verplichting uit de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 10 miljoen euro of een boete van maximaal 2% van de wereldwijde jaaromzet als dat bedrag meer is dan 10 miljoen euro. Een voorbeeld van een situatie waarin een organisatie nalaat een verplichting uit de AVG na te komen, is wanneer een organisatie een van de privacyrechten van een betrokkene niet in acht neemt.

Niet nakomen AVG-grondslag

Indien een organisatie een grondslag van de AVG niet nakomt, kan de AP de organisatie een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet als dat bedrag hoger is dan 20 miljoen euro.

Lees verder

© 2018 - 2020 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Voorkom identiteitsfraude met de KopieID appVoorkom identiteitsfraude met de KopieID appSteeds meer mensen worden het slachtoffer van identiteitsfraude. Dit komt omdat mensen te goed van vertrouwen zijn en ni…

Wet verplichte geestelijke gezondheidszorg (Wvggz)Wet verplichte geestelijke gezondheidszorg (Wvggz)Op 1 januari 2020 is de Wet verplichte geestelijke gezondheidszorg (de Wvggz) ingevoerd. Deze wet vervangt samen met de…
Meerderjarigen onder voorlopige bewindvoering in BelgiëMeerderjarigen onder voorlopige bewindvoering in BelgiëMeerderjarigen kunnen hun goederen zelf beheren. Maar wat als ze om medische redenen hun goederen niet meer kunnen beher…
Bronnen en referenties
  • Inleidingsfoto: JanBaby, Pixabay
  • Autoriteit Persoonsgegevens, AVG-Europese privacywetgeving, van https://autoriteitpersoonsgegevens.nl/.
  • Autoriteit Persoonsgegevens, Mag u persoonsgegevens verwerken?, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken.
  • Algemene verordening gegevensbescherming (AVG), VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Overheid.nl, Uitvoeringswet Algemene verordening gegevensbescherming, van https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Reageer op het artikel "AVG: de grondslagen voor het verwerken van persoonsgegevens"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 19-10-2020
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!