Stap 2: Bepaal of u deze gegevens mag gebruiken
Elke keer als een bedrijf of organisatie persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mogen bedrijven en organisaties niet zomaar persoonsgegevens verwerken.
Dat geldt ook voor u als ondernemer. U mag alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.
Grondslag nodig voor verwerking
U moet dus een goede reden hebben om gegevens te verwerken. Maar die reden mag u niet zelf bedenken. Dus bijvoorbeeld niet: ‘omdat het handig is’.
In de AVG staan de 6 geldige redenen genoemd om gegevens te verwerken. De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.
Let op: U heeft voor elk doel waarvoor u gegevens verwerkt een aparte grondslag nodig. U kunt dus niet al uw verwerkingen op een hoop gooien en daarvoor 1 grondslag kiezen.
Bijvoorbeeld: u verwerkt adresgegevens van uw klanten om bestellingen te leveren. Daarvoor heeft u een grondslag nodig. Verwerkt u daarnaast ook e-mailadressen om uw klanten een nieuwsbrief te versturen? Daarvoor heeft u dan een aparte grondslag nodig.
Welke grondslag heeft u nodig?
Van de 6 grondslagen uit de AVG zijn er 4 belangrijk voor u als ondernemer:
- Overeenkomst
- Wettelijke verplichting
- Toestemming
- Gerechtvaardigd belang
Let op: U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. U bepaalt de grondslag voordat u begint met gegevens te verwerken.
Kunt u geen grondslag vinden die past bij wat u met de gegevens wilt doen? Dan mag u de gegevens niet verwerken.
Overeenkomst
De meest voorkomende grondslag zal zijn dat u gegevens nodig heeft om een overeenkomst uit te voeren. Bijvoorbeeld als u een webwinkel heeft en een klant iets bij u bestelt. U heeft dan het adres van de klant nodig om het product te kunnen versturen.
Let op: Deze grondslag geldt ook voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.
Lees meer over de grondslag overeenkomst
Wettelijke verplichting
Soms moet u persoonsgegevens verwerken omdat u dit wettelijk verplicht bent. Bijvoorbeeld: u moet gegevens verstrekken aan de Belastingdienst.
Lees meer over de grondslag wettelijke verplichting
Toestemming
U mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan u misschien denkt. U hoeft dus zeker niet overal toestemming voor te vragen.
Let op: Misschien denkt u dat het geen kwaad kan om voor de zekerheid toestemming te vragen. Maar behalve dat u uw klanten dan onnodig lastig valt, is het ook voor uzelf niet handig. Want als iemand toestemming weigert of de eerder gegeven toestemming later intrekt, mag u de gegevens van deze persoon niet meer verwerken.
Tip: Wilt u een stabiele basis voor uw gegevensverwerking, dan kunt u uw verwerking beter niet op toestemming baseren maar op een van de andere grondslagen. Voor u als ondernemer is de grondslag meestal: uitvoeren van een overeenkomst.
Lees meer over de grondslag toestemming
Gerechtvaardigd belang
U mag persoonsgegevens verwerken als dat noodzakelijk is om uw zogeheten ‘gerechtvaardigd belang’ te behartigen. Bijvoorbeeld als u fraude binnen uw bedrijf wilt bestrijden.
Lees meer over de grondslag gerechtvaardigd belang
Let op: Deze regels gelden alleen voor ‘gewone’ persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.
Meer informatie grondslagen
Wilt u meer weten over wanneer u wel en niet persoonsgegevens mag verwerken? En over de grondslagen uit de AVG? Lees dan Grondslagen AVG uitgelegd.
Volgende stap
Heeft u de grondslag bepaald voor elk van uw verwerkingen? Dan kunt u verder met de volgende stap.
Naar stap 3: Maak een overzicht van alle gegevens