InfoNu.nl > Mens en Samenleving > Regelingen > AVG: Wanneer mag een organisatie persoonsgegevens verwerken?

AVG: Wanneer mag een organisatie persoonsgegevens verwerken?

AVG: Wanneer mag een organisatie persoonsgegevens verwerken? In de Algemene Verordening Gegevensbescherming (AVG) staan de belangrijkste regelingen omtrent de privacywetgeving, oftewel de regels voor het omgaan met persoonsgevoelige informatie. Sinds 25 mei 2018 geldt met deze verordening in alle landen van de EU dezelfde privacywetgeving. Een doel van de AVG is het toekennen van meer verantwoordelijkheden aan organisaties met betrekking tot het beschermen en verwerken van persoonsgegevens. Zo verplicht de AVG organisaties om alleen dan persoonsgegevens te verwerken indien een van de zes grondslagen van toepassing is. Indien een organisatie in strijd handelt met een regeling uit de AVG, dan kan deze organisatie een boete opgelegd krijgen van de Europese privacy-toezichthouder welke op kan lopen tot in de miljoenen euro's.

AVG grondslagen voor de verwerking van persoonsgegevens in 2019


Wanneer mag een organisatie persoonsgegevens verwerken?

De AVG beschrijft in totaal zes grondslagen op basis waarvan een organisatie persoonsgegevens kan of mag verwerken. Een voorbeeld van een grondslag uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken is de toestemming die iemand aan de organisatie heeft verleend. De zes AVG-grondslagen beschrijven de voorwaarden en het doel waar een organisatie aan dient te voldoen, alvorens het op basis van de betreffende grondslag persoonsgegevens kan gaan verwerken.

Specifiek doel

Een organisatie mag alleen persoonsgegevens verwerken indien daarmee een specifiek doel wordt gediend. Dit doel dient uitdrukkelijk te zijn vastgelegd. Dit kan bijvoorbeeld zijn in een wettelijke bepaling, welke een omschrijving geeft van het specifieke doel, of in een formulier, waar een betrokkene de betreffende organisatie voor het specifieke doel toestemming geeft om persoonsgegevens te verwerken. Een voorbeeld van een specifiek doel is het opslaan van medische gegevens over een patiënt door een huisartsenpraktijk; deze gegevens zijn voor een huisarts van groot belang voor het verlenen van geschikte zorg aan een patiënt.

6 AVG-grondslagen voor persoonsgegevensverwerking

De Europese privacywetgeving beschrijft zes grondslagen op basis waarvan een organisatie persoonsgegevens mag verwerken:
  1. Toestemming van de betrokkene
  2. Noodzaak voor de uitvoering van een overeenkomst
  3. Noodzaak om te voldoen aan een wettelijke verplichting van de organisatie
  4. Noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon
  5. Noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie
  6. Noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde

Grondslag 1: Toestemming van de betrokkene

"De toestemming die de betrokkene oftewel consument aan de organisatie heeft gegeven om voor één of meerdere specifieke doeleinden persoonsgegevens te mogen verwerken."

Eén van de grondslagen uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken, is de toestemming die iemand aan een organisatie verleent. Een organisatie dient te verwerkte persoonsgegevens altijd toe te passen voor een specifiek doel. Wanneer de persoonsgegevensverwerking van een organisatie meerdere doelen dient, dan is voor elk van deze specifieke doelen een afzonderlijke toestemming vereist van de betrokkene.

Toestemming betrokkene

De organisatie is alleen toegestaan om persoonsgegevens te verwerken voor het specifieke doel waarvoor iemand de organisatie toestemming verleent. Een uitzondering is wanneer een wettelijke bepaling de organisatie verplicht stelt om persoonsgegevens te verwerken. In alle overige gevallen is de toestemming van een betrokkene vereist. Indien een organisatie de verwerkte persoonsgegevens van een betrokkene voor een ander doel wilt gaan gebruiken dan voor het doel waarvoor de toestemming is verleend, dan dient de organisatie diegene voor dit andere doel opnieuw en specifiek om toestemming te vragen.

Toestemming intrekken: het recht op vergetelheid

Het 'recht op vergetelheid' is één van de 8 AVG-privacyrechten en heeft sinds 25 mei 2018 gelding gekregen in de Europese lidstaten. Het recht op vergetelheid is in andere woorden te omschrijven als het 'recht op het wissen van persoonsgegevens', en stelt dat iemand diens aan een organisatie verleende toestemming voor persoonsgegevensverwerking kan intrekken. Hiermee veronderstelt dit recht dat de betreffende organisatie wegens een eerder verleende toestemming door de betrokkene is overgegaan tot persoonsgegevensverwerking van deze betrokkene.

Verantwoordingsplicht

Een organisatie moet kunnen aantonen dat een betrokkene de organisatie voor een specifiek doel toestemming heeft verleend om diens persoonsgegevens te verwerken. Een organisatie dient daarbij te kunnen aantonen op welke wijze de toestemming van een betrokkene is verkregen. Dit maakt volgens de AVG onderdeel uit van de zogenaamde verantwoordingsplicht waar organisaties die persoonsgegevens verwerken zich aan dienen te houden.

Grondslag 2: Noodzaak voor de uitvoering van een overeenkomst

"De noodzaak voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om maatregelen te nemen op verzoek van de betrokkene voor de sluiting van een overeenkomst."

Een andere grondslag op basis waarvan een organisatie volgens de AVG persoonsgegevens mag verwerken, of beter gesteld: verplicht is om te verwerken, is wanneer de uitvoering van een overeenkomst het voor een organisatie noodzakelijk maakt om over te gaan tot persoonsgegevensverwerking van een betrokkene. In dat geval hoeft een organisatie de betrokkene niet eerst om toestemming te vragen. De noodzakelijkheid voor de verwerking van persoonsgegevens bestaat wanneer het voor een organisatie niet mogelijk is om zonder deze verwerking de afspraken uit een overeenkomst na te kunnen komen; slechts dan is de persoonsgegevensverwerking noodzakelijk voor de uitvoering van een overeenkomst. Voor het sluiten van een overeenkomst is het verwerken van persoonsgegevens noodzakelijk als de betrokkene de organisatie vraagt hier maatregelen voor te nemen. Als de verwerking van persoonsgegevens van een betrokkene niet noodzakelijk is voor het kunnen nakomen van de overeenkomst die een organisatie met een betrokkene gesloten heeft of de maatregelen die de organisatie hiervoor dient te nemen, dan dient de betrokkene de organisatie hier specifiek en afzonderlijk toestemming voor te geven.

Grondslag 3: Noodzaak om te voldoen aan een wettelijke verplichting van de organisatie

"De noodzaak om te voldoen aan een wettelijke verplichting van de organisatie."

In sommige gevallen is een organisatie wettelijk verplicht om bepaalde persoonsgegevens te bewaren, dan is de organisatie volgens de wet verplicht om deze persoonsgegevens te verwerken. Dit is bijvoorbeeld op basis van een wettelijke bewaartermijn. In het geval er een wettelijke verplichting geldt voor een organisatie om persoonsgegevens te mogen verwerken, dan hoeft iemand voor het verwerken van deze persoonsgegevens niet om toestemming te worden gevraagd.

Grondslag 4: Noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon

"De noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon."

Een vitaal belang betreft de gezondheid of het leven van een betrokkene of een ander persoon. In het geval dat het gaat om de verwerking van persoonsgegevens in een situatie waar iemands leven gered wordt, en de betrokkene zelf niet op toestemming gevraagd kan worden, hoeft de organisatie geen toestemming voor het verwerken van de persoonsgegevens aan de betrokkene te vragen. Deze grondslag is vooral van belang voor de uitoefening van de taken en werkzaamheden van hulpverleners in de medische sector.

Grondslag 5: Noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie

"De noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie."

Een organisatie kan belast zijn met publieke taken die wettelijk staan vastgelegd en waarvoor het noodzakelijk is dat de organisatie overgaat tot de verwerking van persoonsgegevens. In dit geval hoeft een betrokkene niet eerst om toestemming gevraagd te worden. De gegevens die worden verwerkt dienen slechts te worden toegepast voor het specifieke doel voor zover deze voortvloeit uit de omschrijving in de wet.

Grondslag 6: Noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde

"De noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde, tenzij de rechten en vrijheden of belangen op het gebied van gegevensbescherming van een betrokkene zwaarder wegen."

Als de verwerking van persoonsgegevens noodzakelijk is voor het uitoefenen van de taken en werkzaamheden van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens.

Uitzondering: soms extra grondslag vereist uit lidstatelijk recht of Unierecht

Een uitzondering op de regel dat één van de zes grondslagen uit de AVG van toepassing dient te zijn voordat een organisatie persoonsgegevens mag verwerken, vormen de gevallen waarin een organisatie pas persoonsgegevens mag verwerken op basis van een AVG-grondslag waarbij tevens een (extra) grondslag uit het Unierecht of lidstatelijk recht van toepassing dient te zijn. De persoonsgegevensverwerking slechts baseren op een grondslag uit de AVG is in die gevallen niet genoeg. In deze gevallen kan de grondslag uit de AVG worden gezien als een soort 'algemene' grondslag op basis waarvan een organisatie de persoonsgegevens van een betrokkene verwerkt, en daaraan wordt een meer 'specifieke grondslag' gekoppeld uit het lidstatelijk recht of Unierecht. Zo'n grondslag in het Unierecht of lidstatelijk recht beschrijft bijvoorbeeld de nadere voorwaarden waaraan een organisatie moet voldoen om persoonsgegevens te mogen verwerken. Daarbij dient de grondslag uit het lidstatelijk of Unierecht het specifieke doel van de verwerking van de persoonsgegevens vast te stellen. Het lidstatelijk recht of Unierecht bepaalt het type van de organisatie; een organisatie kan worden aangemerkt als een 'publiekrechtelijke' of als een 'privaatrechtelijke' organisatie.

De uitzonderingsgevallen waar een organisatie de persoonsgegevensverwerking naast een AVG-grondslag, tevens dient te baseren op een grondslag uit het lidstatelijk recht of Unierecht, zijn:
  • Wettelijke verplichting van een organisatie om persoonsgegevens te verwerken.
  • Vervulling van een taak van het algemeen belang door een organisatie.
  • Uitoefening van het openbaar gezag door een organisatie.

Wat gebeurt er indien een organisatie niet voldoet aan een van de regelingen uit de AVG?

Indien een organisatie niet voldoet aan bepaalde regels uit de Europese privacywetgeving, dan kan deze een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De AP ziet toe op de naleving van de privacywetgeving en waarborgt daarmee het recht op bescherming van persoonsgegevens in Nederland. De boete die de AP aan een organisatie kan opleggen in het geval van niet nakoming van de Europese privacywetgeving, kan oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van de organisatie (wat meer kan bedragen). De ernst van het niet nakomen van de verplichting of grondslag hangt samen met de hoogte van de boete die de Autoriteit Persoonsgegevens (AP) hiervoor kan opleggen.

Er zijn twee overtredingen die een organisatie kan begaan met betrekking tot het niet nakomen van een van de regelingen uit de AVG:

Niet nakomen AVG-verplichting

Indien een organisatie die persoonsgegevens verwerkt, waarbij deze een verplichting uit de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 10 miljoen euro of een boete van maximaal 2% van de wereldwijde jaaromzet indien dat bedrag meer is dan 10 miljoen euro. Een voorbeeld van wanneer een organisatie nalaat een verplichting uit de AVG na te komen, is wanneer een organisatie een van de privacyrechten van een betrokkene niet in acht neemt.

Niet nakomen AVG-grondslag

Indien een organisatie een grondslag van de AVG niet nakomt kan de AP de organisatie een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet indien dat bedrag hoger is dan 20 miljoen euro.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
De AVG beschermt de privacy van iedereenDe AVG beschermt de privacy van iedereenOp 25 mei 2018 is officieel de nieuwe Europese privacywet in werking getreden: de AVG. Deze afkorting staat voor Algemen…
Bescherming van persoonsgegevensBescherming van persoonsgegevensWie zich inschrijft op een website, geeft al snel veel persoonlijke gegevens door. Het bedrijf of de instelling waaraan…
Bescherming privacy kan beterBescherming privacy kan beterWie op internet surft, wordt gevolgd. Bekijkt een gebruiker bijvoorbeeld nieuwe schoenen bij een online verkoper, dan za…
Bronnen en referenties
  • Inleidingsfoto: JanBaby, Pixabay
  • Autoriteit Persoonsgegevens, AVG-Europese privacywetgeving, van https://autoriteitpersoonsgegevens.nl/.
  • Autoriteit Persoonsgegevens, Mag u persoonsgegevens verwerken?, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken.
  • Algemene verordening gegevensbescherming (AVG), VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Overheid.nl, Uitvoeringswet Algemene verordening gegevensbescherming, van https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Reageer op het artikel "AVG: Wanneer mag een organisatie persoonsgegevens verwerken?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 03-08-2019
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Special: AVG
Bronnen en referenties: 5
Schrijf mee!