• Home
  • Kenniscentrum

Handig is geen grondslag

Door Artikel IB5-2021 - Laura de Vries 13 dec 2021

Auteur: Laura de Vries is Privacy & Legal consultant bij Cuccibu. Zij adviseert verschillende organisaties op het gebied van privacy en gegevensbescherming en vertaalt de wettelijke verplichtingen uit onder andere de AVG naar praktische handvatten. Laura is te bereiken via: laura.de.vries@cuccibu.nl.

Het is een veelgehoorde uitspraak op de vraag waarom bepaalde persoonsgegevens verwerkt worden: ‘dat is handig’. Of: ‘dat is misschien handig in de toekomst’. Helaas: handig is geen grondslag. Persoonsgegevens mogen alleen verwerkt worden als er een juridische grondslag voor is en voldaan wordt aan de basisbeginselen uit de AVG. Het blijkt voor organisaties lastig om hun doelen duidelijk te articuleren en daarna stapsgewijs te checken of iets wel mag.

Meer dan drie jaar na de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) blijkt het voor organisaties nog steeds lastig om aan alle verplichtingen te voldoen. Veelal wordt het voldoen aan wet- en regelgeving nog gezien als een checklist: bij elke verplichting een kruisje en dan ben ik klaar. Om aan de AVG te voldoen dienen organisaties echter te zorgen voor het opzetten van processen waarbij constant opnieuw geëvalueerd wordt of wat ze doen nog wel mag. 

Register van verwerkingen
De meeste organisaties zijn op basis van de AVG verplicht een register van verwerkingen op te zetten [1]. Hierin moet onder andere staan welke verwerkingen er binnen de organisatie plaatsvinden (handelingen dus, zoals het verzamelen, opslaan, gebruiken, wijzigen en vernietigen van gegevens) en waarom (het doel van de verwerking). Dit blijkt vaak een uitdaging. Want waarom verzamel je bepaalde gegevens? Waar gebruik je ze allemaal voor? Heb je deze gegevens wel allemaal nodig? Moet je alle gegevens die je verzamelt ook even lang bewaren? 
Bij het beantwoorden van deze vragen springen organisaties vaak meteen naar artikel 6 AVG, de grondslagen. In dit artikel zijn zes grondslagen opgenomen op basis waarvan persoonsgegevens verwerkt mogen worden: toestemming, (pre-)contractuele afspraken, wettelijke verplichting, vitaal belang van de betrokkene, algemeen belang/publieke taak en het gerechtvaardigde belang van de verwerkingsverantwoordelijke (of een andere partij). Je ziet het, handig is dus geen grondslag. Je zult expliciet moeten bepalen of ‘handig’ ook voldoet aan de vereisten uit de AVG.

Artikel 5
Voor artikel 6, komt artikel 5. In dit artikel zijn de basisbeginselen opgenomen van de AVG. Je dient eerst te bepalen of gegevens wel nodig zijn voor het doel dat je voor ogen hebt (dataminimalisatie), of, en hoe lang je deze dient te bewaren (opslagbeperking) en voor welk doel of welke doelen je de gegevens wilt gebruiken (doelbinding) voordat je kijkt naar de grondslag (hoewel dit in de praktijk vaak samenhangt). Daarbij heb je een verantwoordingsplicht, je moet dus kunnen aantonen dat je aan de vereisten voldoet.

Als je gegevens gaat verwerken en voldoet aan de basisbeginselen, dien je vervolgens de grondslag te bepalen. Heb je bijvoorbeeld een overeenkomst met de betrokkene? Dan mag je de gegevens verwerken die nodig zijn voor het uitvoeren hiervan. Dit klinkt simpel, maar het betekent dus dat je eerst moet bepalen welke gegevens echt noodzakelijk zijn voor het uitvoeren van de overeenkomst. Bestel ik iets in een webshop, dan is het maar de vraag of bijvoorbeeld mijn geslacht een noodzakelijk gegeven is voor het uitvoeren van de overeenkomst. Immers kan ook met enkel naam en adres een pakketje worden bezorgd. Wellicht is dan nog een e-mailadres nodig voor het kunnen versturen van een track & trace code. Vraag je aanvullende gegevens? Dan doe je dat waarschijnlijk op basis van je gerechtvaardigd belang.

Gerechtvaardigd belang
Ik hoor je nu denken, is handig dan niet ook een gerechtvaardigd belang? Misschien wel, maar daarvoor moet eerst het belang van de organisatie worden afgewogen tegenover de rechten en vrijheden van betrokkenen. De inbreuk hierop moet proportioneel zijn en in relatie staan tot het doel. 

De Autoriteit Persoonsgegevens (AP) formuleert het als volgt:
‘Om uw verwerking te mogen baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang', moet u aan drie voorwaarden voldoen. De drie voorwaarden zijn:
1.    U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
2.    De verwerking is noodzakelijk om dit belang te behartigen.
3.    U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen [2].

Maar wat is dan een ‘gerechtvaardigd belang’? Dit heeft de AP uiteengezet in een normuitleg [3]. Enkele voorbeelden zijn: fraudebestrijding, marketing aan bestaande klanten en beveiliging van computersystemen. De reacties op de normuitleg waren niet onverdeeld positief, omdat de AP heeft aangegeven dat een belang in het recht terug te vinden moet zijn, terwijl in principe elk belang dat niet strijdig is aan de wet een gerechtvaardigd belang zou kunnen zijn. Een echte inhoudelijke test voor de rechter moet nog komen, maar de eerste slag is door de AP al verloren. In de zaak tegen VoetbalTV heeft de rechter geoordeeld dat de AP niet voldoende gemotiveerd heeft waarom het gerechtvaardigde belang van VoetbalTV niet voldeed aan de eisen [4]. Deze toetsing heeft geheel niet plaatsgevonden omdat de AP enkel aangaf dat ‘het te gelde maken van persoonsgegevens nooit een gerechtvaardigd belang kan opleveren’ [5]. De rechter ziet dat toch anders en volgt de redenatie van de AP niet. 

Toestemming betrokkene
Wel blijkt uit zowel de normuitleg als deze uitspraak dat alles neerkomt op motivatie. ‘Handig’ alleen zal deze toets vaak niet doorstaan. Heb je geen andere grondslag? Dan kun je nog om toestemming vragen. Deze toestemming moet voldoen aan de vereisten uit artikel 7 en dus vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn. Je moet de betrokkene dus goed uitleggen wat je met de gegevens gaat doen, hoe lang je ze gaat bewaren en je mag de toestemming niet verstoppen in een lange lap tekst, of de toestemming aannemen door gebruik van bijvoorbeeld een website. 

Let op, verwerk je ook bijzondere persoonsgegevens zoals politieke voorkeur, religie of gegevens over de gezondheid, dan is het hebben van een grondslag niet voldoende. Aanvullend dient de organisatie dan ook nog te vallen onder een uitzondering zoals opgenomen in artikel 9 AVG. Bijvoorbeeld verwerking voor het voldoen aan verplichtingen op gebied van sociale zekerheid, het onderbouwen van een rechtsvordering of een algemeen belang op gebied van volksgezondheid. Val je hier niet onder en wil je de gegevens toch verwerken? Dan dien je expliciete toestemming te vragen aan de betrokkene. Dit betekent dat, in aanvulling op de eisen uit artikel 7 AVG, de toestemming voor het verwerken van de bijzondere persoonsgegevens expliciet moet worden benoemd. 

Dus nee, handig is geen grondslag. Als je persoonsgegevens verwerkt, op welke manier dan ook, moet je eerst een concreet doel formuleren en de voorgenomen verwerking toetsen aan de wet. En denk je dat je klaar bent met inventariseren en vastleggen? Dan wordt het daarna tijd om te beginnen aan de review om na te gaan of alles nog steeds klopt en indien nodig aanpassingen te doen. 

Referenties
[1] Artikel 30 AVG
[2] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/mag-u-persoonsgegevens-verwerken 
[3] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf 
[4] https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2020:5111 
[5] https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBMNE:2020:5111

Dit artikel verscheen in IB5-2021, de privacy special.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.

Document downloaden