Dit is het eerste artikel uit onze serie over grondslagen en gaat in op achtergronden, doelen en consequenties van de “grondslagen” uit artikel 6 AVG. In de volgende artikelen zullen we één voor één de zes voorwaarden voor het verwerken van persoonsgegevens uit artikel 6 AVG en de voorwaarden voor het verwerken van bijzondere persoonsgegevens uit artikel 9 AVG behandelen.

Waar komen grondslagen vandaan en wat is het doel?

Het principe van de grondslagen komt mede uit artikel 8 EVRM waarin wordt gesteld dat er een wettelijke basis moet zijn voor het maken van inbreuk op de privacy van burgers door de overheid. De term grondslag komt in de AVG tekst zelf niet voor, maar wel in de overwegingen bij de AVG (overweging 40 & 45). Andere woorden voor “grondslag zijn ”fundament, beginsel of basis“. De AVG spreekt zelf over “voorwaarden” waaraan moet worden voldaan en de Autoriteit Persoonsgegevens heeft het op haar website ook over “redenen”.

Het principe van grondslagen in de AVG is nauw verweven met de principes van noodzakelijkheid en doelbinding. Niet voor niets staat bij vijf van de zes grondslagen in de AVG tekst “de verwerking is noodzakelijk voor…” Als de verwerking van bepaalde persoonsgegevens niet noodzakelijk is voor het doel van de verwerking, kun je je daarvoor dus uitsluitend op de grondslag “toestemming” beroepen.

Verantwoordingsplicht

Als je een grondslag kiest, moet je goed kunnen onderbouwen waarom je voor die grondslag gekozen hebt. Hoewel de grondslag geen verplicht onderdeel van het register van verwerkingsactiviteiten is, zijn de grondslag en de onderbouwing wel onderdeel van de verantwoordingsplicht onder de AVG. Je bent in ieder geval verplicht de grondslag en onderbouwing daarvoor vast te leggen in je privacyverklaring. Als je gegevens van een ander ontvangt heb je hiervoor ook een eigen grondslag en onderbouwing nodig. De grondslag van degene die jou de gegevens geeft, is niet automatisch ook op jouw verwerking van de gegevens van toepassing.

Let op: Het feit dat je een goede grondslag hebt, betekent nog niet dat de verwerking rechtmatig is. Naast de grondslag dien je namelijk ook te voldoen aan alle andere eisen en verplichtingen uit de AVG zoals o.a. proportionaliteit, subsidiariteit, informatieverstrekking, beveiliging en administratieve verantwoording.

Hoe bepaal je de juiste grondslag?

Vóór je persoonsgegevens verwerkt, zal je moeten bepalen op basis van welke grondslag je dat doet. Zonder grondslag is een verwerking onrechtmatig en ben je dus in overtreding van de AVG. De eis voorafgaand aan de verwerking een grondslag te bepalen, zorgt er mede voor dat je gedwongen wordt om na te denken over de noodzaak en het doel van de gegevensverwerking.

Er staan in de AVG 6 grondslagen genoemd in de AVG waaruit je kunt kiezen, je mag dus niet zelf een extra grondslag verzinnen voor het verwerken van persoonsgegevens. Bij het bepalen van de juiste grondslag dient rekening te worden gehouden met het doel van de verwerking van de gegevens. Niet elke grondslag is namelijk geschikt voor elk doel. Bij de grondslag wettelijke verplichting zal het doel vaak overeenkomen met de grondslag (het voldoen aan een wettelijke verplichting) maar als het doel het “verkopen van producten” is kun je je niet beroepen op de grondslag “vitale belangen”. Hoewel de AVG geen grondslagen prioriteert is er wel een logische volgorde voor het kiezen van de juiste grondslag. Hieronder een logische volgorde voor het selecteren van een passende grondslag.

1. Wettelijke verplichting
2. Algemeen belang
3. Overeenkomst
4. Gerechtvaardigde belang
5. Toestemming van de gebruiker
6. Vitale belangen

 

Op de eerste plaats staat “wettelijke verplichting” omdat je daarin geen keuze hebt. Op de tweede plaats “algemeen belang” omdat ook hiervoor een basis in een wet is opgenomen. Op de derde plaats staat “overeenkomst” omdat het vaak vrij eenvoudig te onderbouwen is waarom je daarvoor bepaalde persoonsgegevens nodig hebt. Op de vierde plaats staat “gerechtvaardigd belang”. Deze grondslag vergt echter een goede en gebalanceerde afweging tussen de belangen van de verwerkersverantwoordelijke en degenen wiens persoonsgegevens worden verwerkt, met name als het om gegevens van minderjarigen gaat dient hier terughoudend mee te worden omgegaan. Als je niet objectief kunt aantonen dat jouw belangen als verwerkersverantwoordelijke zwaarder wegen dan de privacybelangen van de betrokkenen zul je terug moeten vallen op “toestemming van de gebruiker”. De laatste grondslag is alleen van toepassing wanneer het essentieel is voor iemands leven of gezondheid en die persoon niet om toestemming gevraagd kan worden. Voor de grondslagen “vitale belangen” & “algemeen belang” is net als voor de grondslag “wettelijke verplichting” vereist dat er Europese of nationale wetgeving is waarin verwerkingen op basis van die grondslag worden beschreven.

Meerdere grondslagen

Het is mogelijk om binnen één verwerkingsactiviteit of zelfs voor hetzelfde persoonsgegevens meerdere grondslagen te hebben. Dit kan echter alleen als er ook aan die verschillende grondslagen gerelateerde verschillende doelen zijn. Je kunt bijvoorbeeld facturen bewaren voor zowel de wettelijke verplichting als voor het uitvoeren van de overeenkomst. Als het bewaren dan niet langer noodzakelijk is voor het uitvoeren van de overeenkomst, kan je de facturen nog wel bewaren i.h.k.v. de wettelijke verplichting. Als het niet nodig is, is het echter niet aan te bevelen een verwerking op meerdere grondslagen te baseren omdat er voor elke grondslag een onderbouwing moet worden vastgelegd in de privacyverklaring. Net als het doel van de verwerking van persoonsgegevens mag je echter niet gaandeweg de grondslag wijzigen omdat dat beter uitkomt. De keuze voor de grondslag die je hebt gemaakt voordat je met het verzamelen van de gegevens begon is dus bepalend. Wil je de grondslag toch wijzigen, dan geldt dat alleen voor gegevens verzameld ná de wijziging.

Het Privacy Insights AVG register biedt onder andere de mogelijkheid de grondslagen en een uitgebreide onderbouwing vast te leggen en ingebouwde hulp bij het kiezen van de juiste grondslag.