InfoNu.nl > Zakelijk > Juridisch > AVG: Wanneer mag een organisatie persoonsgegevens verwerken?

AVG: Wanneer mag een organisatie persoonsgegevens verwerken?

AVG: Wanneer mag een organisatie persoonsgegevens verwerken? In de Algemene Verordening Gegevensbescherming (AVG) staan de belangrijkste regelingen omtrent de privacywetgeving, oftewel de regels voor het omgaan met persoonsgevoelige informatie. Sinds 25 mei 2018 geldt met deze verordening in alle landen van de EU dezelfde privacywetgeving. Een doel van de AVG is het toekennen van meer verantwoordelijkheden aan organisaties met betrekking tot het beschermen en verwerken van persoonsgegevens. Zo verplicht de AVG organisaties om alleen dan persoonsgegevens te verwerken indien een van de zes grondslagen van toepassing is. Indien een organisatie in strijd handelt met een regeling uit de AVG, dan kan deze organisatie een boete opgelegd krijgen van de Europese privacy-toezichthouder welke op kan lopen tot in de miljoenen euro's.

AVG: Grondslagen voor de verwerking van persoonsgegevens in 2019


Wat is de verantwoordingsplicht van organisaties?

Vanaf 25 mei 2018, de dag van de invoering van de AVG, hebben organisaties die persoonsgegevens verwerken meer verantwoordelijkheden erbij gekregen. Zo kennen organisaties vanaf die datum een zogeheten 'verantwoordingsplicht', wat inhoudt dat organisaties verplicht zijn om aantoonbaar te kunnen maken dat zij voldoen aan de regelingen van de Europese privacywetgeving oftewel de regelingen van de AVG. De invoering van deze 'verantwoordingsplicht' betreft een uitbreiding van de verantwoordelijkheden van organisaties om de privacyrechten van personen beter te beschermen.

Wat is de 'verantwoordelijke' organisatie voor persoonsgegevensverwerking?

In een aantal gevallen heeft een bedrijf of organisatie meerdere organisaties verspreid zitten in meerdere lidstaten. Van deze organisaties is er één belast met de zogeheten verantwoordingsplicht. De 'verantwoordelijke' organisatie voor de verwerking van persoonsgegevens, is de organisatie die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Een 'verantwoordelijke' staat onder toezicht van één en dezelfde Europese privacy-toezichthouder.

Toezicht & controle door Europese privacy-toezichthouder

Europese privacy-toezichthouders controleren of organisaties op een correcte wijze de AVG-regelingen implementeren en naleven. Vanaf 25 mei 2018 kunnen Europese privacy-toezichthouders een boete opleggen aan een organisatie indien blijkt dat die organisatie niet aan (een van) de regels van de AVG voldoet. Het boetebedrag kan oplopen tot in de miljoenen euro's. Organisaties en bedrijven werken per 25 mei 2018 met één toezichthouder: de 'leidende toezichthouder'.

Leidende toezichthouder

Normaliter is de leidende toezichthouder van een organisatie tevens de toezichthouder van de lidstaat waar de hoofdvestiging van een organisatie zich bevindt, dus waar de centrale administratie van een organisatie is gevestigd. Hierop bestaat een uitzondering: wanneer de beleid- en de besluitvorming omtrent persoonsgegevensverwerking door een andere vestiging wordt uitgevoerd dan de vestiging waar de centrale administratie gelegen is, en deze andere vestiging zich tevens in een andere EU-lidstaat bevindt dan de lidstaat waar de centrale administratie is gevestigd, dan is de toezichthouder van de lidstaat waar de beleid- en besluitvorming omtrent de verwerking van persoonsgegevens wordt gevoerd de aangewezen toezichthouder voor de organisatie om zaken mee te doen. Kortom is de aangewezen toezichthouder de toezichthouder van de lidstaat waar de vestiging van de verantwoordelijke organisatie is gevestigd; dat is de organisatie die het doel en de middelen vaststelt voor het verwerken van persoonsgegevens.

Wanneer mag een organisatie persoonsgegevens verwerken?

De AVG beschrijft in totaal 6 grondslagen op basis waarvan een organisatie persoonsgegevens kan of mag verwerken. Een voorbeeld van een grondslag uit de AVG op basis waarvan een organisatie persoonsgegevens mag verwerken is de toestemming die iemand hiervoor aan de organisatie geeft. De AVG-grondslagen beschrijven de voorwaarden en het doel voor persoonsgegevensverwerking door organisaties.

Specifiek doel

Een organisatie mag alleen persoonsgegevens verwerken indien daarmee een specifiek doel wordt gediend. Dit doel dient uitdrukkelijk te zijn vastgelegd, bijvoorbeeld in een wettelijke bepaling of in een formulier waaruit blijkt dat een persoon de organisatie toestemming geeft. De organisatie is alleen toegestaan om persoonsgegevens te verwerken voor het specifieke doel waarvoor een persoon de organisatie toestemming heeft gegeven: indien een organisatie de verwerkte persoonsgegevens van iemand voor een ander doel wilt gaan gebruiken dan waarvoor deze persoon de organisatie toestemming heeft verleend, dan dient de organisatie de persoon voor dit andere doel opnieuw en specifiek om toestemming te vragen.

AVG: 6 grondslagen voor persoonsgegevensverwerking

De AVG beschrijft zes grondslagen op basis waarvan een organisatie persoonsgegevens mag verwerken:

1: Toestemming van de betrokkene

De eerste grondslag voor een organisatie om persoonsgegevens te mogen verwerken:

"de toestemming die de betrokkene oftewel consument aan de organisatie gegeven heeft om voor één of meerdere specifieke doeleinden persoonsgegevens te mogen verwerken."

Een organisatie dient de toestemming van iemand, en de wijze waarop deze toestemming is verkregen, te kunnen aantonen. Dit behoort tot de ‘verantwoordingsplicht’ van organisaties. Bovendien dienen de verwerkte gegevens van een persoon te worden gebruikt voor een specifiek doel. Indien een organisatie de verwerkte persoonsgegevens voor meerdere doeleinden wil toepassen, dan dient de organisatie voor élk van deze specifieke doeleinden afzonderlijk de betrokkene (uitdrukkelijk) om toestemming te vragen.

2: Noodzaak voor de uitvoering van een overeenkomst

De tweede grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak voor de uitvoering van een overeenkomst, waarbij de betrokkene partij is, of om maatregelen te nemen op verzoek van de betrokkene voor de sluiting van een overeenkomst."

Indien een overeenkomst het noodzakelijk maakt om persoonsgegevens te verwerken, hoeft een organisatie niet om toestemming te vragen aan de betrokkene. De persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst kunnen alleen worden verwerkt door een organisatie indien een persoon deze organisatie hier uitdrukkelijk toestemming voor geeft. Een persoon heeft 'uitdrukkelijk' toestemming ergens voor gegeven, indien dit op papier oftewel zwart op wit, aantoonbaar te maken is.

3: Noodzaak om te voldoen aan een wettelijke verplichting van de organisatie

De derde grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak om te voldoen aan een wettelijke verplichting van de organisatie."

Indien een organisatie wettelijk verplicht is om bepaalde persoonsgegevens te bewaren, bijvoorbeeld op basis van een wettelijke bewaartermijn, dan is de organisatie volgens de wet verplicht om deze persoonsgegevens te verwerken. In het geval er een wettelijke verplichting geldt voor een organisatie om persoonsgegevens te mogen verwerken, dan hoeft iemand voor het verwerken van deze persoonsgegevens niet om toestemming te worden gevraagd.

4: Noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon

De vierde grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak voor het beschermen van de vitale belangen van een betrokkene of een ander natuurlijk persoon."

Een vitaal belang betreft de gezondheid of het leven van een betrokkene of een ander persoon. In het geval dat het gaat om de verwerking van persoonsgegevens in een situatie waar iemands leven gered wordt, en de betrokkene zelf niet op toestemming gevraagd kan worden, hoeft de organisatie geen toestemming voor het verwerken van de persoonsgegevens aan de betrokkene te vragen. Deze grondslag is vooral van belang voor de uitoefening van de taken en werkzaamheden van hulpverleners in de medische sector.

5: Noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie

De vijfde grondslag op basis waarvan een organisatie persoonsgegevens mag verwerken:

"de noodzaak voor de vervulling van een taak van algemeen belang of in kader van de uitoefening van het openbaar gezag van de organisatie."

Een organisatie kan belast zijn met wettelijk vastgelegde publieke taken waarvoor het noodzakelijk is dat de organisatie persoonsgegevens verwerkt. Indien de verwerking van persoonsgegevens noodzakelijk is voor de taak van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens. De gegevens die worden verwerkt dienen slechts te worden toegepast indien dit nodig is voor het uitvoeren van een taak van een organisatie voor zover deze taak voortvloeit uit de wet.

6: Noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde

De zesde en tevens laatste grondslag voor een organisatie om persoonsgegevens van een persoon te mogen verwerken:

"de noodzaak voor de gerechtvaardigde belangen van de organisatie of van een derde, tenzij de rechten en vrijheden of belangen op het gebied van gegevensbescherming van een betrokkene zwaarder wegen."

Indien de verwerking van persoonsgegevens noodzakelijk is voor het uitoefenen van de taken en werkzaamheden van een organisatie, dan hoeft de betrokkene niet om toestemming gevraagd te worden voor de verwerking van deze persoonsgegevens.

Wat gebeurt er indien een organisatie niet voldoet aan een van de regelingen uit de AVG?

Indien een organisatie niet voldoet aan bepaalde regels zoals deze volgens de AVG in 2018 gelden, dan kan deze een boete opgelegd krijgen van de Autoriteit Persoonsgegevens (AP). De AP ziet toe op de naleving van de privacywetgeving en waarborgt hiermee het recht op bescherming van persoonsgegevens in Nederland. De boete die de AP aan een organisatie kan opleggen in het geval een organisatie een regeling uit de Europese privacywetgeving (AVG) niet naleeft, kan oplopen tot 20 miljoen euro of tot 4% van de wereldwijde jaaromzet van de organisatie.

Er zijn 2 overtredingen die een organisatie kan begaan met betrekking tot het niet nakomen van een van de regelingen zoals de AVG deze beschrijft:

Ernst van de overtreding

De ernst van het niet nakomen van de verplichting of grondslag hangt samen met de hoogte van de boete die de Autoriteit Persoonsgegevens (AP) hiervoor kan opleggen. Voor het niet nakomen van een verplichting kan de AP een boete opleggen met een hoogte van maximaal 10 miljoen euro of maximaal 2% van de wereldwijde jaaromzet. Indien een organisatie een grondslag van de AVG niet nakomt, dan kan de AP een boete opleggen van maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet.

Boete niet nakomen verplichting AVG

Indien een organisatie die persoonsgegevens verwerkt, waarbij deze een verplichting uit de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 10 miljoen euro of een boete van maximaal 2% van de wereldwijde jaaromzet indien dat bedrag meer is dan 10 miljoen euro. Een voorbeeld van wanneer een organisatie nalaat een verplichting uit de AVG na te komen, is wanneer een organisatie een van de privacyrechten van een betrokkene niet in acht neemt.

Boete niet nakomen grondslag AVG

Indien een organisatie een grondslag van de AVG niet nakomt, dan kan de AP de organisatie een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet indien dat bedrag hoger is dan 20 miljoen euro.

Uitzondering: Extra grondslag vereist in het lidstatelijk recht of Unierecht

In een aantal gevallen dient een organisatie persoonsgegevens te verwerken op basis van een (extra) grondslag uit het Unierecht of lidstatelijk recht. De grondslag in de AVG kan dan worden gezien als een soort 'algemene' grondslag, waar een meer 'specifieke grondslag' aan gekoppeld dient te worden in het lidstatelijk recht of het Unierecht. Zo'n grondslag in het Unierecht of het lidstatelijk recht omschrijft bijvoorbeeld de nadere voorwaarden waaraan dient te worden voldaan wil een organisatie persoonsgegevens verwerken. Bovendien dient deze (extra) grondslag uit het lidstatelijk of (Europese) Unierecht het doel van de verwerking van de persoonsgegevens vast te stellen. Het lidstatelijk recht of Unierecht bepaalt het type van de organisatie, dus of een organisatie dient te worden aangemerkt als een 'publiekrechtelijke' of een 'privaatrechtelijke' organisatie.

De gevallen dat er voor een organisatie naast een grondslag uit de AVG, tevens een grondslag in het lidstatelijk recht of in het Unierecht van toepassing dient te zijn, om persoonsgegevens te mogen verwerken:
  • een wettelijke verplichting om persoonsgegevens te verwerken.
  • de vervulling van een taak van het algemeen belang.
  • de uitoefening van het openbaar gezag.

Lees verder

© 2018 - 2019 Aucourant, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Datalek; wat is het en wanneer moet je het melden?Datalek; wat is het en wanneer moet je het melden?Sinds 1 januari 2016 bestaat de verplichting om een datalek te melden. De melding moet onverwijld worden gedaan zodra ee…
Persoonsgegevens en internet, privacybescherming op het webPersoonsgegevens en internet, privacybescherming op het webPersoonlijke gegevens en persoonsgegevens op het internet kunnen mensen jarenlang achtervolgen. Sterker nog, die gegeven…
Bescherming van persoonsgegevensBescherming van persoonsgegevensWie zich inschrijft op een website, geeft al snel veel persoonlijke gegevens door. Het bedrijf of de instelling waaraan…
Voorkom identiteitsfraude met de KopieID appVoorkom identiteitsfraude met de KopieID appSteeds meer mensen worden het slachtoffer van identiteitsfraude. Dit komt omdat mensen te goed van vertrouwen zijn en ni…
Bronnen en referenties
  • Inleidingsfoto: JanBaby, Pixabay
  • Autoriteit Persoonsgegevens, AVG-Europese privacywetgeving, https://autoriteitpersoonsgegevens.nl/
  • Algemene verordening gegevensbescherming (AVG)

Reageer op het artikel "AVG: Wanneer mag een organisatie persoonsgegevens verwerken?"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Aucourant
Laatste update: 06-02-2019
Rubriek: Zakelijk
Subrubriek: Juridisch
Special: AVG
Bronnen en referenties: 3
Schrijf mee!