Grondslagen AVG uitgelegd
Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag u alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.
Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken. In de Algemene verordening gegevensbescherming (AVG) staan 6 redenen genoemd. De juridische naam voor die redenen is 'grondslagen'. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.
Op deze pagina
Algemene informatie grondslagen AVG
U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De Autoriteit Persoonsgegevens (AP) kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens verwerken.
De 6 grondslagen
In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:
- U heeft toestemming van de persoon om wie het gaat.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang uit te voeren / openbaar gezag uit te oefenen.
- Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
Tip: grondslag vermelden
Heeft u een grondslag voor uw verwerking? Dan is het aan te raden dat u de grondslag vermeldt op de volgende plekken:
- In uw privacyverklaring. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan. Dit kan u helpen om aan uw informatieplicht te voldoen.
- In uw privacybeleid (als u dit heeft, want niet elke organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan uw verantwoordingsplicht te voldoen.
- Neem de grondslag eventueel ook op in uw verwerkingsregister.
Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen.
Uitzondering: bijzondere en strafrechtelijke gegevens
Let op: Deze regels gelden alleen voor gewone persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.
Speciale regels voor bijzondere persoonsgegevens
Speciale regels voor strafrechtelijke gegevens
Persoonlijk of huishoudelijk gebruik
Verwerking van persoonsgegevens puur voor persoonlijk of huishoudelijk gebruik is wel altijd toegestaan. Dit valt niet onder de AVG. U hoeft dan dus geen grondslag te hebben. Bijvoorbeeld:
- een verjaardagskalender;
- een bestand met adressen van familie en vrienden;
- persoonsgegevens publiceren op een afgeschermde pagina op internet.
Grondslag toestemming
Een van de grondslagen in de AVG is dat mensen toestemming hebben gegeven om hun persoonsgegevens te verwerken. In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Lees verder: Grondslag toestemming.
Grondslag overeenkomst
Een van die grondslagen in de AVG is dat het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren. U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en u die overeenkomst niet kunt uitvoeren zonder ook persoonsgegevens te verwerken.
Deze grondslag geldt ook voor de fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.
Voor meer informatie over deze grondslag, lees de Guidelines over de grondslag overeenkomst bij online services van de EDPB.
Let op: Verwerk geen persoonsgegevens die niet noodzakelijk zijn om de overeenkomst uit te voeren. Doet u dat wel? Dan moet u daarvoor alsnog ook toestemming of een andere grondslag hebben. Tenzij het om een verenigbare verdere verwerking gaat.
Grondslag wettelijke verplichting
Is de verwerking van de persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen? Dan kunt u zich op deze grondslag baseren.
Voorbeelden
Voorbeeld 1: U heeft een bevel van de politie om bepaalde persoonsgegevens aan de politie door te geven.
Voorbeeld 2: U geeft de hoogte van het salaris van uw medewerkers door aan de Belastingdienst voor de uitvoering van de belastingwetgeving.
Het hoeft niet expliciet in de wet te staan dat u persoonsgegevens moet verwerken om een specifieke taak uit te voeren. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.
Let op: U kunt zich niet baseren op deze grondslag voor verwerkingen die u – doorgaans als overheid – moet doen om een aan u opgedragen wettelijke bevoegdheid uit te oefenen of wettelijke taak uit te voeren. Zoals het handhaven van de openbare orde. Daarvoor geldt een specifieke grondslag.
Grondslag vitaal belang
U kunt zich maar in enkele gevallen op deze grondslag baseren.
Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om persoonsgegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.
Voorbeeld
Bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het onmogelijk om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.
Toegang geven aan anderen
Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen verwerkt? Dan mag dat alleen wanneer u de verwerking niet op een andere grondslag kunt baseren.
Grondslag taak van algemeen belang of uitoefening van openbaar gezag
Is de verwerking van persoonsgegevens noodzakelijk om – meestal als overheid – een door de wet gegeven taak uit te oefenen? Of om uw wettelijke bevoegdheden uit te oefenen, zoals het verlenen van een vergunning? Dan kunt u zich op deze grondslag baseren. Het gaat daarbij om taken en bevoegdheden die door de wet aan uw organisatie zijn gegeven.
Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt om die specifieke wettelijke taak uit te oefenen. Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen.
Voorbeeld
Als gemeente beslist u dat de parkeerplaatsen in een bepaalde straat alleen voor de bewoners van die straat zijn. Deze bewoners moeten een parkeervergunning bij u aanvragen. Om deze vergunningen te kunnen afleveren, moet u persoonsgegevens van de bewoners verwerken.
Type organisaties
Soms kunnen ook niet-bestuursorganen een beroep doen op deze grondslag. Bent u formeel geen bestuursorgaan, omdat u geen besluiten neemt maar alleen feitelijke handelingen verricht? Ook dan kunt u een wettelijke taak hebben waarbij het noodzakelijk is om persoonsgegevens te verwerken om die taak uit te voeren. U mag uw verwerking dan op deze grondslag baseren. U moet dan wel in wetgeving zijn aangewezen om de betreffende taak uit te voeren. U kunt dit dus niet zelf bepalen.
Grondslag gerechtvaardigd belang
Om uw verwerking te mogen baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang', moet u aan 3 voorwaarden voldoen. Hiermee toetst u of uw recht om persoonsgegevens te verwerken – omdat u een gerechtvaardigd belang heeft om dit te doen – zwaarder weegt dan het recht van mensen op bescherming van hun persoonsgegevens.
De 3 voorwaarden zijn:
- U heeft daadwerkelijk een gerechtvaardigd belang.
- De verwerking is noodzakelijk om dit belang te behartigen.
- U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.
Voorwaarde 1: gerechtvaardigd belang
Op 4 oktober 2024 heeft het Hof van Justitie van de Europese Unie uitspraak gedaan over de grondslag gerechtvaardigd belang. Daardoor is een belangrijk deel van de eerder door de AP gegeven uitleg aan de eerste voorwaarde voor deze grondslag niet meer actueel.
De EDPB heeft guidelines over de grondslag gerechtvaardigd belang uitgebracht. Hiervoor loopt een publieke consultatie tot en met 20 november 2024. Daarna bekijkt de AP of in aanvulling daarop uitleg door de AP wenselijk is.
Veelgenoemde gerechtvaardigde belangen zijn bijvoorbeeld:
- fraude, oplichting of ander onrechtmatig gedrag tegengaan;
- de privésfeer beschermen;
- zorgplichten nakomen voor werknemers en/of klanten.
Het belang moet hierbij wel:
- Actueel zijn. Dit houdt in dat het niet mag gaan om een mogelijk belang in de toekomst, waarvan u nog niet zeker bent.
- Concreet zijn. Dit houdt in dat u het belang duidelijk kunt verwoorden.
- Rechtstreeks zijn. Dit houdt in dat het gaat om een belang van uzelf, dus niet een algemeen belang, een belang van ‘de samenleving’ of iets dergelijks.
Heeft u geen gerechtvaardigd belang? Dan kunt u uw verwerking niet baseren op deze grondslag.
Voorwaarde 2: noodzakelijkheid
Heeft u daadwerkelijk een gerechtvaardigd belang? Dan moet u vervolgens kijken of de verwerking van persoonsgegevens noodzakelijk is om dit belang te behartigen. Dit doet u door na te gaan:
- Of het doel van uw verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen (proportionaliteit).
- Of u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de betrokkenen (subsidiariteit).
Voldoet u niet aan allebei deze eisen? Dan is uw verwerking niet noodzakelijk. En kunt u uw verwerking dus niet baseren op de grondslag gerechtvaardigd belang.
Voorwaarde 3: afweging belangen
Heeft u een gerechtvaardigd belang en is de gegevensverwerking noodzakelijk om dit belang te behartigen? Dan moet u tot slot nog een afweging maken tussen uw belangen en de belangen van de betrokkenen.
Bij deze afweging kijkt u naar:
- De gevolgen voor de betrokkenen.
- Hoe ernstig de inbreuk is op de privacy van de betrokkenen.
- Welke (aanvullende) maatregelen u neemt om ongewenste gevolgen voor de betrokkenen te voorkomen of beperken.
- Of de betrokkenen de verwerking min of meer kunnen verwachten.
Let op: Wilt u persoonsgegevens verwerken van kinderen (jonger dan 16 jaar)? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.
Uw afweging kan tot 2 conclusies leiden:
- De belangen van de betrokkene blijken zwaarder te wegen. U kunt uw verwerking hierdoor niet baseren op de grondslag gerechtvaardigd belang. U mag de gegevens dus niet verwerken.
- Uw belangen wegen zwaarder. U heeft hierdoor een grondslag om persoonsgegevens te verwerken. U mag de gegevens dus wel verwerken.
Speciale regels voor bijzondere persoonsgegevens
De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een uitzondering. In de AVG staan 10 uitzonderingen. Daarnaast moet u een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens hebben.
In de praktijk vallen sommige van die uitzonderingen en grondslagen samen. Bijvoorbeeld als u uitdrukkelijke toestemming heeft gekregen van de betrokkene.
Van de 10 uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat u zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag.
De 10 uitzonderingen zijn:
- Iemand heeft uitdrukkelijke toestemming gegeven voor de verwerking van de eigen persoonsgegevens.
- Alleen als het in een wet staat: De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht of het socialebeschermingsrecht.
- De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om toestemming te geven.
- U verwerkt de persoonsgegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om persoonsgegevens van uw (oud-)leden of personen met wie u regelmatig contact heeft, gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
- U verwerkt persoonsgegevens die de betrokken persoon zelf doelbewust openbaar heeft gemaakt.
- De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsprekende taken.
- Alleen als het in een wet staat: De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
- Alleen als het in een wet staat: De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
- Alleen als het in een wet staat: De verwerking is noodzakelijk voor de volksgezondheid.
- Alleen als het in een wet staat: De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.
Speciale regels voor strafrechtelijke gegevens
De verwerking van strafrechtelijke gegevens (AVG: 'persoonsgegevens van strafrechtelijke aard') is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op een van de grondslagen voor het verwerken van 'gewone' persoonsgegevens.
Dit zijn de 2 belangrijkste wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens:
- De verwerking geschiedt onder verantwoordelijkheid van de overheid.
- De verwerking is toegestaan bij wetgeving die ook passende waarborgen biedt voor de rechten en vrijheden van de betrokken personen.
Voor een volledig overzicht van de algemene wettelijke uitzonderingen, zie artikel 32 en 33 van de Uitvoeringswet AVG (UAVG). In andere wetten staan ook uitzonderingen.
Let op: Alleen de overheid mag omvangrijke registers met strafrechtelijke veroordelingen bijhouden.