AVG: de grondslagen voor het verwerken van persoonsgegevens

AVG: de grondslagen voor het verwerken van persoonsgegevens In de Algemene verordening gegevensbescherming (AVG) staan de zes grondslagen op basis waarvan een organisatie persoonsgegevens kan gaan verwerken. Een voorbeeld van een grondslag is de toestemming die een betrokkene aan een organisatie gegeven heeft om zijn/haar persoonsgegevens te verwerken. De zes AVG-grondslagen beschrijven de voorwaarden en het doel waar een organisatie overeenkomstig mee dient te handelen, alvorens het op basis van een bepaalde grondslag persoonsgegevens kan gaan verwerken. Een aanvullende voorwaarde is dat organisaties alleen persoonsgegevens verwerken uit de categorie van 'gewone' persoonsgegevens.

De AVG-grondslagen op basis waarvan een organisatie persoonsgegevens mag verwerken:


1. Toestemming van de betrokkene

"De toestemming die de betrokkene oftewel consument aan de organisatie heeft gegeven om voor één of meerdere specifieke doeleinden persoonsgegevens te mogen verwerken."

Eén van de grondslagen uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken, is de toestemming die iemand daarvoor aan een organisatie verleent. Een organisatie dient de verwerkte persoonsgegevens altijd toe te passen voor een specifiek doel waarvoor de betrokkene de organisatie toestemming heeft verleend. Wanneer de persoonsgegevensverwerking van een organisatie meerdere doelen dient, dan is voor elk van deze specifieke doelen een afzonderlijke toestemming vereist van de betrokkene. Een uitzondering is wanneer een wettelijke bepaling de organisatie verplicht stelt om persoonsgegevens te verwerken. In alle overige gevallen is de toestemming van een betrokkene vereist. Het recht op vergetelheid van een betrokkene, is in andere woorden te omschrijven als het 'recht op het wissen van persoonsgegevens', en betekent dat een betrokkene de eerder verleende toestemming aan een organisatie voor persoonsgegevensverwerking weer kan intrekken.

Specifiek doel

Een organisatie mag alleen persoonsgegevens verwerken indien daarmee een specifiek doel wordt gediend. Dit doel dient uitdrukkelijk te zijn vastgelegd. Dit kan bijvoorbeeld zijn in een wettelijke bepaling, welke een omschrijving geeft van het specifieke doel, of in een formulier, waar een betrokkene de betreffende organisatie voor het specifieke doel toestemming geeft om persoonsgegevens te verwerken. Een voorbeeld van een specifiek doel is het opslaan van medische gegevens over een patiënt door een huisartsenpraktijk; deze gegevens zijn voor een huisarts van groot belang voor het verlenen van geschikte zorg aan een patiënt.

Verantwoordingsplicht

Een organisatie moet kunnen aantonen dat een betrokkene de organisatie voor een specifiek doel toestemming heeft verleend om zijn/haar persoonsgegevens te verwerken. Een organisatie dient daarbij te kunnen aantonen op welke wijze de toestemming van een betrokkene is verkregen. Dit is onderdeel van de zogenaamde verantwoordingsplicht waar organisaties die persoonsgegevens verwerken zich volgens de AVG aan dienen te houden.

2. Noodzaak voor de uitvoering van een overeenkomst

"De noodzaak voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om maatregelen te nemen op verzoek van de betrokkene voor de sluiting van een overeenkomst."

Een andere grondslag op basis waarvan een organisatie volgens de AVG persoonsgegevens mag verwerken, is wanneer de uitvoering van een overeenkomst het voor een organisatie noodzakelijk maakt om over te gaan tot persoonsgegevensverwerking van een betrokkene. In dat geval hoeft een organisatie de betrokkene niet eerst om toestemming te vragen. De noodzakelijkheid voor de verwerking van persoonsgegevens bestaat wanneer het voor een organisatie niet mogelijk is om zonder deze verwerking de afspraken uit een overeenkomst na te kunnen komen; slechts dan is de persoonsgegevensverwerking noodzakelijk voor de uitvoering van een overeenkomst. Als de verwerking van persoonsgegevens van een betrokkene niet noodzakelijk is voor het kunnen nakomen van de overeenkomst die een organisatie met de betrokkene gesloten heeft, of de maatregelen die de organisatie hiervoor dient te nemen, dan dient de betrokkene de organisatie hier specifiek en afzonderlijk toestemming voor te geven.

3. Noodzaak om te voldoen aan een wettelijke verplichting van de organisatie

"De noodzaak om te voldoen aan een wettelijke verplichting van de organisatie."

In sommige gevallen is een organisatie wettelijk verplicht om bepaalde persoonsgegevens te bewaren, wat betekent dat de organisatie volgens de wet verplicht is om deze persoonsgegevens te verwerken. Dit is bijvoorbeeld op basis van een wettelijke bewaartermijn. In het geval een wettelijke verplichting geldt voor een organisatie om persoonsgegevens te verwerken, dan hoeft een betrokkene voor het verwerken van deze persoonsgegevens niet om toestemming te worden gevraagd.

4. Noodzaak voor het beschermen van de vitale belangen van een betrokkene

"De noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon."

Een vitaal belang betreft de gezondheid of het leven van een betrokkene of een ander persoon. In het geval dat het gaat om de verwerking van persoonsgegevens in een situatie waar iemands leven gered wordt, en de betrokkene zelf niet om toestemming gevraagd kan worden, hoeft de organisatie de betrokkene geen toestemming voor het verwerken van de persoonsgegevens te vragen. Deze grondslag is vooral van belang voor de uitoefening van de taken en werkzaamheden van hulpverleners in de medische sector.

5. Noodzaak voor de vervulling van een taak van algemeen belang van de organisatie

"De noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie."

Een organisatie kan belast zijn met publieke taken die wettelijk staan vastgelegd en waarvoor het noodzakelijk is dat de organisatie overgaat tot de verwerking van persoonsgegevens. In dit geval hoeft een betrokkene niet eerst om toestemming gevraagd te worden. De gegevens die worden verwerkt dienen slechts te worden toegepast voor het specifieke doel voor zover deze voortvloeit uit de omschrijving in de wet.

6. Noodzaak voor de gerechtvaardigde belangen van de organisatie

"De noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde, tenzij de rechten en vrijheden of belangen op het gebied van gegevensbescherming van een betrokkene zwaarder wegen."

Als de verwerking van persoonsgegevens noodzakelijk is voor het uitoefenen van de taken en werkzaamheden van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens.

Uitzondering: soms extra grondslag vereist uit lidstatelijk recht of Unierecht

Een uitzondering op de regel dat één van de zes grondslagen uit de AVG van toepassing dient te zijn voordat een organisatie persoonsgegevens mag verwerken, vormen de gevallen waarin een organisatie pas persoonsgegevens mag gaan verwerken wanneer sprake is van zowel een AVG-grondslag als een (extra) grondslag uit het Unierecht of lidstatelijk recht. De persoonsgegevensverwerking slechts baseren op een grondslag uit de AVG is in die gevallen dus niet genoeg. In deze gevallen kan de grondslag uit de AVG worden gezien als een soort 'algemene' grondslag op basis waarvan een organisatie de persoonsgegevens van een betrokkene verwerkt, en daaraan wordt een meer 'specifieke' grondslag gekoppeld uit het lidstatelijk recht of Unierecht. Zo een grondslag in het Unierecht of lidstatelijk recht beschrijft bijvoorbeeld de nadere voorwaarden waaraan een organisatie moet voldoen om persoonsgegevens te mogen verwerken. Daarbij dient de grondslag uit het lidstatelijk of Unierecht het specifieke doel van de verwerking van de persoonsgegevens vast te stellen. Ook bepaalt het lidstatelijk recht of Unierecht in dat geval het type van de organisatie; een organisatie kan worden aangemerkt als een 'publiekrechtelijke' of als een 'privaatrechtelijke' organisatie.

De uitzonderingsgevallen waar een organisatie de persoonsgegevensverwerking op zowel een AVG-grondslag als op een grondslag uit het lidstatelijk recht of Unierecht dient te baseren, zijn:
  • de wettelijke verplichting van een organisatie om persoonsgegevens te verwerken;
  • de vervulling van een taak van het algemeen belang door een organisatie;
  • de uitoefening van het openbaar gezag door een organisatie.

Wat gebeurt er indien een organisatie niet voldoet aan de AVG?

Indien een organisatie niet voldoet aan bepaalde regels uit de Europese privacywetgeving, dan kan deze een boete opgelegd krijgen door de Autoriteit Persoonsgegevens (AP). De AP ziet toe op de naleving van de privacywetgeving en waarborgt daarmee het recht op bescherming van persoonsgegevens in Nederland. De boete die de AP aan een organisatie kan opleggen in het geval van niet nakoming van de Europese privacywetgeving, kan oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van de organisatie (wat meer kan bedragen). De ernst van het niet nakomen van de verplichting of grondslag hangt samen met de hoogte van de boete die de AP hiervoor kan opleggen.

Er zijn twee overtredingen die een organisatie kan begaan met betrekking tot het niet nakomen van de AVG:

Niet nakomen AVG-verplichting

Indien een organisatie persoonsgegevens verwerkt waarbij deze een verplichting uit de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 10 miljoen euro of een boete van maximaal 2% van de wereldwijde jaaromzet als dat bedrag meer is dan 10 miljoen euro. Een voorbeeld van een situatie waarin een organisatie nalaat een verplichting uit de AVG na te komen, is wanneer een organisatie een van de privacyrechten van een betrokkene niet in acht neemt.

Niet nakomen AVG-grondslag

Indien een organisatie een grondslag van de AVG niet nakomt, kan de AP de organisatie een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet als dat bedrag hoger is dan 20 miljoen euro.

Lees verder

© 2018 - 2024 Aucourant, het auteursrecht van dit artikel ligt bij de infoteur. Zonder toestemming is vermenigvuldiging verboden. Per 2021 gaat InfoNu verder als archief, artikelen worden nog maar beperkt geactualiseerd.
Gerelateerde artikelen
AVG: Wat zijn de categorieën van persoonsgegevens?AVG: Wat zijn de categorieën van persoonsgegevens?Volgens de AVG zijn er 3 verschillende categorieën van persoonsgegevens en een organisatie mag slechts één categorie van…
AVG: Welke privacyrechten bij persoonsgegevensverwerking?AVG: Welke privacyrechten bij persoonsgegevensverwerking?De AVG beschrijft 8 privacyrechten die een betrokkene kan inroepen om zich te beschermen tegen een inbreuk op het recht…
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…

Wet verplichte geestelijke gezondheidszorg (Wvggz)Wet verplichte geestelijke gezondheidszorg (Wvggz)Op 1 januari 2020 is de Wet verplichte geestelijke gezondheidszorg (de Wvggz) ingevoerd. Deze wet vervangt samen met de…
Meerderjarigen onder voorlopige bewindvoering in BelgiëMeerderjarigen onder voorlopige bewindvoering in BelgiëMeerderjarigen kunnen hun goederen zelf beheren. Maar wat als ze om medische redenen hun goederen niet meer kunnen beher…
Bronnen en referenties
  • Inleidingsfoto: Mmende, Pixabay (bewerkt)
  • Algemene verordening gegevensbescherming (AVG), VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016
  • Uitvoeringswet Algemene verordening gegevensbescherming, van https://wetten.overheid.nl
Aucourant (22 artikelen)
Laatste update: 04-11-2020
Rubriek: Mens en Samenleving
Subrubriek: Regelingen
Bronnen en referenties: 3
Per 2021 gaat InfoNu verder als archief. Het grote aanbod van artikelen blijft beschikbaar maar er worden geen nieuwe artikelen meer gepubliceerd en nog maar beperkt geactualiseerd, daardoor kunnen artikelen op bepaalde punten verouderd zijn. Reacties plaatsen bij artikelen is niet meer mogelijk.