Vergroot contrast

Mag u persoonsgegevens verwerken?

Onder de Algemene verordening gegevensbescherming (AVG) mag u niet zomaar persoonsgegevens verwerken. U moet daarvoor een zogeheten wettelijke grondslag hebben. Daarom is het goed om vooraf inzicht te hebben in het type persoonsgegevens dat u wilt verwerken. Zodat u weet welke AVG-regels er voor u gelden.

We onderscheiden drie typen persoonsgegevens: gewone, bijzondere en strafrechtelijke gegevens.

Gewone persoonsgegevens

U mag alleen ‘gewone’ persoonsgegevens verwerken wanneer u de gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen kunt baseren.

Bijzondere en strafrechtelijke persoonsgegevens

De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op 1 van de 6 grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

Nieuws

Alle nieuwsberichten over het onderwerp 'Mag u persoonsgegevens verwerken? '

Alle antwoorden op mijn vragenVragen over persoonsgegevens verwerken

 • Hoe weet u of u persoonsgegevens mag verwerken?

  Als organisatie mag u niet zomaar persoonsgegevens verwerken. U moet daarvoor een wettelijke grondslag hebben. De Algemene verordening gegevensbescherming (AVG) kent 6 grondslagen.

  Kunt u de gegevensverwerking niet baseren op minimaal één van deze grondslagen? Dan heeft u niet het recht om de persoonsgegevens te verwerken.

  Welke grondslagen zijn er?

  De AVG kent 6 grondslagen voor het verwerken van persoonsgegevens:

  U bent zelf verantwoordelijk om te beoordelen of u zich voor een verwerking van persoonsgegevens kunt baseren op één van de 6 grondslagen.

  Bijzondere en strafrechtelijke gegevens

  Het verwerken van bijzondere en strafrechtelijke persoonsgegevens is verboden, tenzij u voldoet aan een aantal strengere eisen. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over iemands gezondheid. Strafrechtelijke persoonsgegevens zijn bijvoorbeeld gegevens over strafrechtelijke veroordelingen.

  Persoonlijk gebruik

  Verwerking van persoonsgegevens voor puur persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

  Verantwoordingsplicht

  Zorg ervoor dat u goed kunt onderbouwen dat u de verwerking van persoonsgegevens op minimaal 1 van de 6 AVG-grondslagen kunt baseren als de Autoriteit Persoonsgegevens daar om vraagt. Onder de AVG geldt namelijk de verantwoordingsplicht.

 • Waarom maakt de AVG verschil tussen gewone, bijzondere en strafrechtelijke persoonsgegevens?

  U mag alleen persoonsgegevens verwerken als dat wettelijk is toegestaan. U moet zich namelijk kunnen baseren op één van de AVG-grondslagen.

  Voor de verwerking van gewone, bijzondere en strafrechtelijke persoonsgegevens gelden verschillende grondslagen. Daarom is het belangrijk om inzicht te hebben in het type persoonsgegevens dat u verwerkt.

  Als u zich niet op een grondslag kunt baseren, dan heeft u niet het recht om persoonsgegevens te verwerken.

 • Mag u onder de AVG persoonsgegevens van kinderen verwerken?

  Ja, u mag gegevens van kinderen verwerken onder de Algemene verordening gegevensbescherming (AVG) wanneer u de gegevensverwerking op minimaal 1 van de 6 AVG-grondslagen kunt baseren. Let op: als het om persoonsgegevens van kinderen gaat, gelden extra eisen voor de grondslag toestemming.

  Toestemming bij kinderen

  Bij kinderen jonger dan 16 jaar is toestemming alleen geldig als deze is verleend door de persoon met ouderlijke verantwoordelijkheid en daarnaast aan de reguliere vereisten voor toestemming is voldaan.

  Toestemming bij online verwerking

  Verwerkt u gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders (of de persoon die de ouderlijke verantwoordelijkheid draagt).

  Deze eis geldt specifiek wanneer u een kind een aanbod doet dat valt onder ‘diensten van de informatiemaatschappij’. Dus als u persoonsgegevens van kinderen wilt gebruiken voor marketingdoeleinden of om persoonlijkheids- of gebruikersprofielen op te stellen. En ook als u persoonsgegevens over kinderen wilt verzamelen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.

  Er is één uitzondering. Voor hulp- en adviesdiensten die rechtstreeks en gratis aan kinderen worden aangeboden, is geen toestemming van de ouders nodig.

  Offline toestemming

  Verwerkt u offline gegevens van kinderen? Bijvoorbeeld voor een bestelling in een fysieke winkel? Ook dit mag bij kinderen onder de 16 jaar alleen als de ouders (of de persoon die de ouderlijke verantwoordelijkheid draagt) hiervoor toestemming hebben gegeven.

  Check wie toestemming heeft gegeven

  Wees u ervan bewust dat kinderen extra kwetsbaar zijn. Zij kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten.

  Daarom bent u volgens de AVG verplicht om een redelijke inspanning te leveren om te checken dat de toestemming is gegeven door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

  U moet dit kunnen aantonen wanneer de Autoriteit Persoonsgegevens daar om vraagt.

  Let op: richt u zich op kinderen in een ander EU-land? De AVG biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. In Nederland geldt de leeftijdsgrens van 16 jaar.

  Informatie over toestemming

  De informatie die u geeft over de verwerking van persoonsgegevens moet eenvoudig toegankelijk en begrijpelijk zijn voor het kind, in duidelijke en eenvoudige taal en waar nodig met visuele ondersteuning.

 • Wat verstaat de AVG onder bijzondere persoonsgegevens?

  Persoonsgegevens die door hun aard bijzonder gevoelig zijn worden met de Algemene verordening gegevensbescherming (AVG) extra beschermd. Hieronder vallen ook genetische gegevens en biometrische gegevens als deze herleidbaar zijn tot een persoon.

  De AVG ziet deze persoonsgegevens als bijzondere persoonsgegevens:

  • persoonsgegevens waaruit ras of etnische afkomst blijkt;
  • persoonsgegevens waaruit politieke opvattingen blijken;
  • persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
  • gegevens over gezondheid;
  • gegevens over iemands seksueel gedrag of seksuele gerichtheid;
  • genetische gegevens;
  • biometrische gegevens met het oog op de unieke identificatie van een persoon.

  Genetische persoonsgegevens

  Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig.

  In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat is van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.

  Biometrische persoonsgegevens

  Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt het zo gevoelig.

  In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukgegevens.

  Speciale regels voor strafrechtelijke persoonsgegevens

  Let op: anders dan onder de Wet bescherming persoonsgegevens, zijn strafrechtelijke persoonsgegevens geen bijzondere persoonsgegevens. Voor strafrechtelijke persoonsgegevens gelden onder de AVG specifieke eisen.

  Zie verder: Wanneer mag u strafrechtelijke persoonsgegevens verwerken?

  Verwerking is meestal verboden

  De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

  Zie verder: Wanneer mag u bijzondere persoonsgegevens verwerken?

 • Wat verstaat de AVG onder strafrechtelijke persoonsgegevens?

  Strafrechtelijke persoonsgegevens zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.

  Hieronder vallen zowel veroordelingen als mogelijk gegronde verdenkingen. Dit wil zeggen dat er concrete aanwijzingen zijn dat iemand een strafbaar feit heeft gepleegd. Een voorbeeld hiervan is een opgestelde zwarte lijst van frauderende klanten bij een financiële instelling.

  Met ‘veiligheidsmaatregelen’ worden persoonsgegevens bedoeld die te maken hebben met een door de rechter opgelegd verbod voor onrechtmatig of hinderlijk gedrag.

  Onder de AVG gelden speciale regels voor het verwerken van strafrechtelijke gegevens.

 • Wanneer mag u bijzondere persoonsgegevens verwerken?

  De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die grondslagen samen.

  10 uitzonderingen

  In de AVG staan 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Dat betekent dat het verbod niet voor u geldt wanneer u zich kunt beroepen op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens én:

  • 1. Iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens.
  • 2. De verwerking noodzakelijk is om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het sociale zekerheidsrecht en het sociale beschermingsrecht.
  • 3. De verwerking noodzakelijk is om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven.
  • 4. De verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. En die gegevens verwerkt voor gerechtvaardigde activiteiten en met passende waarborgen.
  • 5. Het om een verwerking gaat van persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt.
  • 6. De verwerking noodzakelijk is om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of wanneer gerechten handelen vanuit hun rechtsbevoegdheid.
  • 7. De verwerking noodzakelijk is vanwege een zwaarwegend algemeen belang.
  • 8. De verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
  • 9. De verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid.
  • 10. De verwerking noodzakelijk is vanwege de archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of voor statistische doeleinden.

  Let op: u kunt de grondslagen 2, 7, 8, 9 en 10 alleen inroepen als daarvoor in de nationale wet een rechtsbasis is gecreëerd. De overige grondslagen zijn rechtstreeks toepasselijk en hoeven niet te worden omgezet in nationaal recht. Dat geldt niet voor de andere grondslagen.

 • Wanneer mag u strafrechtelijke persoonsgegevens verwerken?

  De verwerking van strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.

  De wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens zijn:

  • de verwerking moet onder toezicht van de overheid staan óf; 
  • de verwerking is toegestaan bij nationaal recht. Het gaat dan om Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen bieden voor de rechten en vrijheden van de betrokken personen.

  Let op: registers met strafrechtelijke veroordelingen mag u alleen bijhouden onder toezicht van de overheid.

  Voor een volledig overzicht van de wettelijke uitzonderingen zie artikel 32 en 33 van de UAVG.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden

Alle antwoorden op mijn vragenVragen over grondslagen

 • Wanneer mag u zich baseren op de grondslag algemeen belang of openbaar gezag?

  U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt beroepen op 1 van de 6 grondslagen uit de AVG. Eén van die grondslagen is ‘noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag’. Het gaat daarbij om wettelijke taken.

  Taak die wettelijk is vastgelegd

  Wilt u zich op deze grondslag beroepen? Dan kan dat alleen als u een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.

  Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt voor de uitoefening van die specifieke wettelijke taak.

  Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Bijvoorbeeld: u zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid.

  Welke organisaties mogen een beroep doen op deze grondslag?

  U hoeft geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag. Ook andere organisaties die een taak van algemeen belang uitoefenen mogen zich op deze grondslag baseren. Bijvoorbeeld organisaties voor ontwikkelingssamenwerking.

  Verantwoordingsplicht

  Zijn de persoonsgegevens echt noodzakelijk voor de vervulling van uw publieke taak? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Dat maakt deel uit van de verantwoordingsplicht die onder de AVG geldt.

 • Wanneer mag u zich baseren op de grondslag gerechtvaardigd belang?

  U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op minimaal 1 van de 6 AVG-grondslagen. Eén van die grondslagen is ‘noodzakelijk voor de behartiging van de gerechtvaardigde belangen’.

  U kunt zich op deze grondslag baseren als u aan drie voorwaarden voldoet: (1) u heeft een gerechtvaardigd belang, (2) de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen en (3) u heeft een afweging gemaakt tussen uw belangen en die van de personen van wie u persoonsgegevens verwerkt.

  1. Gerechtvaardigd belang

  Ten eerste moet het gaan om een gerechtvaardigd belang. Dit belang moet rechtmatig, voldoende duidelijk verwoord en ook echt aanwezig zijn. Dat is zo wanneer een verwerking aantoonbaar noodzakelijk is om uw bedrijfsactiviteiten te verrichten. Bijvoorbeeld het voeren van een personeelsadministratie.

  2. Noodzakelijkheid

  Ten tweede moet de verwerking van de persoonsgegevens noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang. U moet de verwerking daarom toetsen aan de eisen van (1) proportionaliteit en (2) subsidiariteit.

  Dat betekent dat u moet nagaan of (1) het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt en (2) of u het doel niet op een voor de betrokken personen minder nadelige manier kan bereiken.

  3. Afweging belangen

  Ten derde moet u een afweging maken tussen uw belangen en de belangen van de personen van wie u persoonsgegevens verwerkt. Ook moet u hierbij eventueel maatregelen treffen om ervoor te zorgen dat de rechten en vrijheden van deze personen niet zwaarder wegen dan uw gerechtvaardigd belang.

  Dit betekent onder meer dat u de gegevens niet langer mag bewaren dan nodig is voor het doel van de verwerking. Gaat het bijvoorbeeld om de verwerking van persoonsgegevens van kinderen, dus jonger dan 16 jaar? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.

  Let op: bent u een overheidsinstantie? Dan mag u zich niet baseren op deze grondslag voor de uitoefening van uw taken. U moet zich dan op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag ‘algemeen belang of openbaar gezag’.

  U mag als overheidsinstanties in de regel alleen gegevens verwerken om uw taken uit te voeren als de wet u daarvoor de bevoegdheid heeft gegeven. De wetgever moet namelijk zorgen dat iedere overheidsinstantie een rechtsgrond voor verwerkingen heeft.

  Verantwoordingsplicht

  Zijn de persoonsgegevens echt noodzakelijk voor de behartiging van uw gerechtvaardigd belang? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

 • Wanneer mag u zich baseren op de grondslag toestemming?

  U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de AVG. Eén van die grondslagen is ‘toestemming’. De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Maar de manier waarop u toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.

  Rechtsgeldige toestemming voldoet aan de volgende eisen:

  • Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
  • Geïnformeerd: u moet mensen informeren over:
   1) de identiteit van u als organisatie;
   2) het doel van elke verwerking waarvoor u toestemming vraagt;
   3) welke persoonsgegevens u verzamelt en gebruikt;
   4) het recht dat zij hebben om de toestemming weer in te trekken. U moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien u als organisatie bij de verwerking meerdere doeleinden heeft, dient u de betrokkene hierover te informeren en betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.
  • Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
  • U moet kunnen aantonen dat u geldige toestemming heeft verkregen.

  Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

  Toestemming bij kinderen

  De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

  Verantwoordingsplicht

  Wilt u zich baseren op de grondslag toestemming? Zorg er dan voor dat u kunt aantonen dat u die toestemming op de juiste manier heeft gevraagd en gekregen. Onder de AVG heeft u namelijk een verantwoordingsplicht.

 • Wanneer mag u zich baseren op de grondslag uitvoering overeenkomst?

  U heeft alleen het recht om persoonsgegevens te verwerken als u zich kunt baseren op minimaal 1 van de 6 AVG-grondslagen. Eén van die grondslagen is ‘noodzakelijk voor de uitvoering van een overeenkomst’. 

  U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet  gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

  Soms heeft u toestemming nodig

  Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Doet u dat wel? Dan moet u daarvoor rechtsgeldige toestemming of een andere grondslag hebben.

  Voorbeeld: als u online een product verkoopt, moet u adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wilt u de persoonsgegevens daarnaast ook nog gebruiken om het koopgedrag van iemand te analyseren? Dan moet u hiervoor rechtsgeldige toestemming hebben van de betrokken persoon.

  Verantwoordingsplicht

  Zijn de persoonsgegevens echt noodzakelijk voor de naleving van de overeenkomst met ieder betrokken individu? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

 • Wanneer mag u zich baseren op de grondslag vitale belangen?

  U heeft alleen het recht om persoonsgegevens te verwerken als zich kunt baseren op minimaal 1 van de 6 AVG-grondslagen. Eén van die grondslagen is ‘noodzakelijk voor de bescherming van vitale belangen’. U kunt zich slechts in enkele gevallen op deze grondslag baseren.

  Wat is een vitaal belang?

  Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en u die persoon niet om toestemming kunt vragen. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.

  Ter illustratie: bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het natuurlijk niet te doen om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.

  Toegang door anderen

  Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen verwerkt? Dan mag dat in principe alleen wanneer u de verwerking kennelijk niet op een andere rechtsgrond kan baseren.

  Verantwoordingsplicht

  Is de verwerking van persoonsgegevens echt noodzakelijk voor de bescherming van de vitale belangen van ieder betrokken individu? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

 • Wanneer mag u zich baseren op de grondslag wettelijke verplichting?

  U heeft alleen het recht om persoonsgegevens te verwerken als u zich kunt baseren op minimaal 1 van de 6 AVG-grondslagen. Eén van die grondslagen is ‘noodzakelijk voor het nakomen van een wettelijke verplichting’. 

  Noodzakelijkheid

  Wilt u zich op deze grondslag baseren? Dan moet de verwerking van de persoonsgegevens noodzakelijk zijn om aan een wettelijke verplichting te voldoen. Bijvoorbeeld: u heeft een bevel van de politie om bepaalde persoonsgegevens aan hen te verstrekken. Of: u verstrekt gegevens voor de uitvoering van de belastingwet.

  Het hoeft niet expliciet in de wet te staan dat u voor de uitvoering van een specifieke taak persoonsgegevens moet verwerken. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.

  Verantwoordingsplicht

  Zijn de persoonsgegevens echt noodzakelijk voor het nakomen van een wettelijke verplichting? Zorg ervoor dat u goed kunt onderbouwen dat u zich op deze grondslag mag baseren. Onder de AVG heeft u namelijk een verantwoordingsplicht.

  Let op: u kunt zich niet op deze grondslag baseren als het gaat om een zeer algemene taak. Zoals het handhaven van de openbare orde. Daarvoor geldt een andere grondslag.