Welke wettelijke grondslagen zijn er?

De Zes Pijlers van Rechtmatigheid: Wettelijke Grondslagen voor Gegevensverwerking onder de AVG

De Algemene Verordening Gegevensbescherming (AVG), de hoeksteen van de privacywetgeving in Europa, vereist dat elke verwerking van persoonsgegevens gebaseerd is op een rechtmatige grondslag. Zonder een dergelijke grondslag is de verwerking illegaal. De AVG definieert zes cruciale wettelijke gronden, of “rechtmatigheidsgronden”, die organisaties moeten aanvoeren om hun gegevensverwerking te rechtvaardigen. Deze pijlers van rechtmatigheid zorgen ervoor dat persoonsgegevens niet willekeurig verzameld en gebruikt worden, maar dat dit gebeurt op een transparante en verantwoorde manier.

Het is van essentieel belang voor elke organisatie die persoonsgegevens verwerkt, om de betekenis en toepassing van deze zes grondslagen te begrijpen. De juiste grondslag kiezen is niet alleen een wettelijke verplichting, maar ook een kwestie van vertrouwen en transparantie richting de betrokkenen.

Hieronder een uiteenzetting van de zes rechtmatigheidsgronden:

1. Toestemming: Dit is wellicht de meest bekende grondslag. Het vereist een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene, waarmee deze instemt met de verwerking van zijn of haar persoonsgegevens. Belangrijk hierbij is dat de toestemming eenvoudig in te trekken moet zijn, en dat de betrokkene duidelijk geïnformeerd is over het doel van de gegevensverwerking. Toestemming is vaak de juiste grondslag voor bijvoorbeeld marketingdoeleinden of het plaatsen van niet-noodzakelijke cookies.

2. Noodzakelijk voor de uitvoering van een overeenkomst: Als de verwerking van persoonsgegevens noodzakelijk is om een overeenkomst met de betrokkene uit te voeren, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen, dan is deze grondslag van toepassing. Denk bijvoorbeeld aan het verwerken van adresgegevens bij de levering van een online bestelling of het verwerken van creditcardgegevens voor de betaling.

3. Wettelijke verplichting: Soms is een organisatie wettelijk verplicht om bepaalde persoonsgegevens te verwerken. Dit kan voortkomen uit nationale wetgeving of Europese regelgeving. Een voorbeeld hiervan is het verwerken van werknemersgegevens voor belastingdoeleinden.

4. Vitaal belang: Deze grondslag is relevant in situaties waarin de verwerking van persoonsgegevens noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Dit kan bijvoorbeeld het geval zijn bij een medisch noodgeval waarbij de gezondheid van de betrokkene in gevaar is.

5. Algemeen belang of uitoefening van openbaar gezag: Deze grondslag is van toepassing wanneer de verwerking van persoonsgegevens noodzakelijk is voor de vervulling van een taak van algemeen belang, of in het kader van de uitoefening van openbaar gezag die aan de verwerkingsverantwoordelijke is opgedragen. Denk hierbij aan het verwerken van persoonsgegevens door overheidsinstanties voor de uitvoering van hun taken.

6. Gerechtvaardigd belang: Deze grondslag stelt organisaties in staat om persoonsgegevens te verwerken wanneer zij een gerechtvaardigd belang hebben, tenzij de belangen of de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen. Deze grondslag vereist een zorgvuldige afweging van de belangen van de organisatie versus die van de betrokkene. Het is belangrijk om te documenteren waarom de organisatie van mening is dat haar gerechtvaardigde belang zwaarder weegt.

De juiste keuze maken:

Het kiezen van de juiste grondslag is cruciaal. De AVG vereist dat organisaties expliciet aangeven op welke grondslag zij hun gegevensverwerking baseren. Bovendien kan de gekozen grondslag invloed hebben op de rechten van de betrokkenen en de verplichtingen van de organisatie.

Het is belangrijk om te onthouden dat de keuze voor een bepaalde grondslag niet statisch is. De omstandigheden kunnen veranderen, waardoor een andere grondslag mogelijk geschikter wordt. Regelmatige beoordeling van de rechtmatigheid van de gegevensverwerking is daarom essentieel om te blijven voldoen aan de AVG.

Door een grondig begrip van deze zes pijlers van rechtmatigheid kunnen organisaties hun verplichtingen onder de AVG nakomen en het vertrouwen van hun klanten en medewerkers waarborgen. De AVG is niet bedoeld als een last, maar als een kans om data op een ethische en verantwoorde manier te verwerken.