InfoNu.nl > Zakelijk > Juridisch > AVG: 6 grondslagen voor het verwerken van persoonsgegevens

AVG: 6 grondslagen voor het verwerken van persoonsgegevens

AVG: 6 grondslagen voor het verwerken van persoonsgegevens In de Algemene Verordening Gegevensbescherming (AVG) staan de belangrijkste regelingen omtrent de privacywetgeving, oftewel de regels voor het omgaan met persoonsgevoelige informatie. Sinds 25 mei 2018 geldt met deze verordening in alle landen van de EU dezelfde privacywetgeving. Een doel van de AVG is het toekennen van meer verantwoordelijkheden aan organisaties met betrekking tot het beschermen en verwerken van persoonsgegevens. Zo verplicht de AVG organisaties om alleen dan persoonsgegevens te verwerken indien een van de zes grondslagen van toepassing is. Indien een organisatie in strijd handelt met een regeling uit de AVG, dan kan deze organisatie een boete opgelegd krijgen van de Europese privacy-toezichthouder welke op kan lopen tot in de miljoenen euro's.

AVG grondslagen voor de verwerking van persoonsgegevens in 2019


Wanneer mag een organisatie persoonsgegevens verwerken?

De AVG beschrijft in totaal 6 grondslagen op basis waarvan een organisatie persoonsgegevens kan of mag verwerken. Een voorbeeld van een grondslag uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken is de toestemming die iemand hiervoor aan de organisatie geeft. De AVG-grondslagen beschrijven de voorwaarden en het doel voor persoonsgegevensverwerking door organisaties.

Specifiek doel

Een organisatie mag alleen persoonsgegevens verwerken indien daarmee een specifiek doel wordt gediend. Dit doel dient uitdrukkelijk te zijn vastgelegd, bijvoorbeeld in een wettelijke bepaling of in een formulier waaruit blijkt dat een persoon de organisatie toestemming geeft. De organisatie is alleen toegestaan om persoonsgegevens te verwerken voor het specifieke doel waarvoor een persoon de organisatie toestemming heeft gegeven: indien een organisatie de verwerkte persoonsgegevens van iemand voor een ander doel wilt gaan gebruiken dan waarvoor deze persoon de organisatie toestemming heeft verleend, dan dient de organisatie de persoon voor dit andere doel opnieuw en specifiek om toestemming te vragen.

AVG: 6 grondslagen voor persoonsgegevensverwerking

De AVG beschrijft zes grondslagen op basis waarvan een organisatie persoonsgegevens mag verwerken:

1: Toestemming van de betrokkene

De eerste grondslag voor een organisatie om persoonsgegevens te mogen verwerken:

"de toestemming die de betrokkene oftewel consument aan de organisatie gegeven heeft om voor één of meerdere specifieke doeleinden persoonsgegevens te mogen verwerken."

Een organisatie dient de toestemming van iemand, en de wijze waarop deze toestemming is verkregen, te kunnen aantonen. Dit behoort tot de ‘verantwoordingsplicht’ van organisaties. Bovendien dienen de verwerkte gegevens van een persoon te worden gebruikt voor een specifiek doel. Indien een organisatie de verwerkte persoonsgegevens voor meerdere doeleinden wil toepassen, dan dient de organisatie voor élk van deze specifieke doeleinden afzonderlijk de betrokkene (uitdrukkelijk) om toestemming te vragen.

2: Noodzaak voor de uitvoering van een overeenkomst

De tweede grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om maatregelen te nemen op verzoek van de betrokkene voor de sluiting van een overeenkomst."

Indien een overeenkomst het noodzakelijk maakt om persoonsgegevens te verwerken, hoeft een organisatie niet om toestemming te vragen aan de betrokkene. De persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst kunnen alleen worden verwerkt door een organisatie indien een persoon deze organisatie hier uitdrukkelijk toestemming voor geeft. Een persoon heeft 'uitdrukkelijk' toestemming ergens voor gegeven, indien dit op papier oftewel zwart op wit, aantoonbaar te maken is.

3: Noodzaak om te voldoen aan een wettelijke verplichting van de organisatie

De derde grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak om te voldoen aan een wettelijke verplichting van de organisatie."

Indien een organisatie wettelijk verplicht is om bepaalde persoonsgegevens te bewaren, bijvoorbeeld op basis van een wettelijke bewaartermijn, dan is de organisatie volgens de wet verplicht om deze persoonsgegevens te verwerken. In het geval er een wettelijke verplichting geldt voor een organisatie om persoonsgegevens te mogen verwerken, dan hoeft iemand voor het verwerken van deze persoonsgegevens niet om toestemming te worden gevraagd.

4: Noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon

De vierde grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon."

Een vitaal belang betreft de gezondheid of het leven van een betrokkene of een ander persoon. In het geval dat het gaat om de verwerking van persoonsgegevens in een situatie waar iemands leven gered wordt, en de betrokkene zelf niet op toestemming gevraagd kan worden, hoeft de organisatie geen toestemming voor het verwerken van de persoonsgegevens aan de betrokkene te vragen. Deze grondslag is vooral van belang voor de uitoefening van de taken en werkzaamheden van hulpverleners in de medische sector.

5: Noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie

De vijfde grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie."

Een organisatie kan belast zijn met wettelijk vastgelegde publieke taken waarvoor het noodzakelijk is dat de organisatie persoonsgegevens verwerkt. Indien de verwerking van persoonsgegevens noodzakelijk is voor de taak van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens. De gegevens die worden verwerkt dienen slechts te worden toegepast indien dit nodig is voor het uitvoeren van een taak van een organisatie voor zover deze taak voortvloeit uit de wet.

6: Noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde

De zesde en tevens laatste grondslag voor een organisatie om persoonsgegevens van een persoon te mogen verwerken:

"de noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde, tenzij de rechten en vrijheden of belangen op het gebied van gegevensbescherming van een betrokkene zwaarder wegen."

Indien de verwerking van persoonsgegevens noodzakelijk is voor het uitoefenen van de taken en werkzaamheden van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens.

Wat gebeurt er indien een organisatie niet voldoet aan een van de regelingen uit de AVG?

Indien een organisatie niet voldoet aan bepaalde regels zoals deze volgens de AVG in 2018 gelden, dan kan deze een boete opgelegd krijgen van de Autoriteit Persoonsgegevens (AP). De AP ziet toe op de naleving van de privacywetgeving en waarborgt hiermee het recht op bescherming van persoonsgegevens in Nederland. De boete die de AP aan een organisatie kan opleggen in het geval een organisatie een regeling uit de Europese privacywetgeving (AVG) niet naleeft, kan oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van de organisatie.

Er zijn 2 overtredingen die een organisatie kan begaan met betrekking tot het niet nakomen van een van de regelingen zoals de AVG deze beschrijft:

Ernst van de overtreding

De ernst van het niet nakomen van de verplichting of grondslag hangt samen met de hoogte van de boete die de Autoriteit Persoonsgegevens (AP) hiervoor kan opleggen. Voor het niet nakomen van een verplichting kan de AP een boete opleggen met een hoogte van maximaal 10 miljoen euro of maximaal 2% van de wereldwijde jaaromzet. Indien een organisatie een grondslag van de AVG niet nakomt, dan kan de AP een boete opleggen van maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet.

Niet nakomen AVG-verplichting

Indien een organisatie die persoonsgegevens verwerkt, waarbij deze een verplichting uit de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 10 miljoen euro of een boete van maximaal 2% van de wereldwijde jaaromzet indien dat bedrag meer is dan 10 miljoen euro. Een voorbeeld van wanneer een organisatie nalaat een verplichting uit de AVG na te komen, is wanneer een organisatie een van de privacyrechten van een betrokkene niet in acht neemt.

Niet nakomen AVG-grondslag

Indien een organisatie een grondslag van de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet indien dat bedrag hoger is dan 20 miljoen euro.

Uitzondering: Grondslag in het lidstatelijk recht of Unierecht

In een aantal gevallen dient een organisatie persoonsgegevens te verwerken op basis van een (extra) grondslag uit het Unierecht of lidstatelijk recht. Alleen een grondslag uit de AVG is dan niet voldoende. De grondslag in de AVG kan dan worden gezien als een soort 'algemene' grondslag, waar een meer 'specifieke grondslag' aan gekoppeld dient te worden in het lidstatelijk recht of het Unierecht. Zo'n grondslag in het Unierecht of het lidstatelijk recht omschrijft bijvoorbeeld de nadere voorwaarden waaraan dient te worden voldaan wil een organisatie persoonsgegevens verwerken. Bovendien dient deze (extra) grondslag uit het lidstatelijk of (Europese) Unierecht het doel van de verwerking van de persoonsgegevens vast te stellen. Het lidstatelijk recht of Unierecht bepaalt het type van de organisatie, dus of een organisatie dient te worden aangemerkt als een 'publiekrechtelijke' of een 'privaatrechtelijke' organisatie.

De gevallen dat er voor een organisatie een grondslag uit de AVG én een grondslag uit het lidstatelijk recht of in het Unierecht van toepassing dient te zijn voor de verwerking van persoonsgegevens:
  • een wettelijke verplichting om persoonsgegevens te verwerken.
  • de vervulling van een taak van het algemeen belang.
  • de uitoefening van het openbaar gezag.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Wat is een bewindvoerder?Wat is een bewindvoerder en wat zijn zijn taken? Welke eisen worden er aan een bewindvoerder gesteld?
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Gezichtsherkenning: nooit meer anoniemGezichtsherkenning: nooit meer anoniemFacebook en Google zouden worden uitgerust met gezichtsherkenning waardoor men zijn vrienden op foto’s niet meer zelf ho…
Bronnen en referenties
  • Inleidingsfoto: JanBaby, Pixabay
  • Autoriteit Persoonsgegevens, AVG-Europese privacywetgeving, van https://autoriteitpersoonsgegevens.nl/.
  • Autoriteit Persoonsgegevens, Mag u persoonsgegevens verwerken?, van https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving/mag-u-persoonsgegevens-verwerken.
  • Algemene verordening gegevensbescherming (AVG), VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016, van https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf.
  • Overheid.nl, Uitvoeringswet Algemene verordening gegevensbescherming, van https://wetten.overheid.nl/BWBR0040940/2018-05-25.

Reageer op het artikel "AVG: 6 grondslagen voor het verwerken van persoonsgegevens"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 18-04-2019
Rubriek: Zakelijk
Subrubriek: Juridisch
Special: AVG
Bronnen en referenties: 5
Schrijf mee!