Home
Sluit menu

Filter zoek resultaten

Grondslagen AVG uitgelegd

Elke keer als u persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag u alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als u zonder deze gegevens uw doel niet kunt bereiken.

Op deze pagina

Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken. In de privacywet, de Algemene verordening gegevensbescherming (AVG), staan 6 redenen genoemd. De juridische naam voor die redenen is grondslagen. U heeft dus een grondslag nodig om persoonsgegevens te mogen verwerken.

Algemene informatie grondslagen

U moet zelf beoordelen welke grondslag voor u van toepassing is. Dat is uw eigen verantwoordelijkheid. De AP kan u hierover geen advies geven. U bepaalt de grondslag voordat u begint met gegevens verwerken.

De 6 grondslagen

In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:

  1. U heeft toestemming van de persoon om wie het gaat.
  2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
  4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
  6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Tip: grondslag vermelden

Heeft u een grondslag voor uw verwerking? Dan is het aan te raden dat u de grondslag vermeldt op de volgende plekken:

  1. In uw privacyverklaring. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan. Dit kan u helpen om aan uw informatieplicht te voldoen.
  2. In uw privacybeleid (als u dit heeft, want niet elke organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan uw verantwoordingsplicht te voldoen.
  3. Neem de grondslag eventueel ook op in uw verwerkingsregister.

Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen.

Uitzondering: bijzondere en strafrechtelijke gegevens

Let op: deze regels gelden alleen voor gewone persoonsgegevens. Wilt u bijzondere persoonsgegevens verwerken? Zoals gegevens over iemands gezondheid? Of strafrechtelijke gegevens? Dat is verboden. Tenzij u voldoet aan een aantal strenge eisen. Een grondslag hebben is dan dus niet genoeg.

Persoonlijk gebruik

Verwerking van persoonsgegevens puur voor persoonlijk gebruik is wel altijd toegestaan. Denk bijvoorbeeld aan een verjaardagskalender of een bestand met adressen van familie en vrienden.

Grondslag toestemming

Een van de grondslagen in de AVG is dat mensen toestemming hebben gegeven om hun persoonsgegevens te verwerken. 

In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Meer informatie vindt u in de Guidelines toestemming

Toestemming moet voldoen aan de volgende eisen:

  • Vrijelijk gegeven
  • Ondubbelzinnig
  • Geïnformeerd
  • Specifiek

Vrijelijk gegeven

U mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als diegene geen toestemming geeft. Let daarbij op machtsverhoudingen. Werknemers kunnen een vraag van hun werkgever bijvoorbeeld moeilijk weigeren.

Ondubbelzinnig

Er moet sprake zijn van een duidelijke actieve handeling om toestemming te geven. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval heel helder zijn dat er toestemming is gegeven.

U mag er niet van uitgaan dat iemand impliciet toestemming geeft. Het gebruik van vooraf aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd

U moet mensen vooraf informeren over:

  • de identiteit van u als organisatie;
  • het doel van elke verwerking waarvoor u toestemming vraagt;
  • welke persoonsgegevens u verzamelt en gebruikt;
  • het recht dat mensen hebben om de toestemming weer in te trekken.

U moet de informatie voor het vragen van toestemming in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn, zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.

Specifiek

Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Heeft u meerdere doeleinden om gegevens te verwerken? Dan moet u de betrokkene hierover informeren en voor elk doel afzonderlijk toestemming vragen. Het doel mag niet gaandeweg veranderen.

Toestemming vragen

De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt.

Een van de manieren om toestemming te vragen is de betrokkene een schriftelijke verklaring laten invullen en ondertekenen.

In een online omgeving kunt u mensen vragen om toestemming te geven door bijvoorbeeld:

  • actief een vakje aan te vinken;
  • op een knop of een link te klikken;
  • een elektronisch formulier in te vullen;
  • een e-mail aan u te sturen;
  • een elektronische handtekening te zetten;
  • een gescand document met handtekening te uploaden.

Een mondelinge verklaring kan ook voldoende zijn om geldige toestemming te krijgen. Maar hierbij kan het voor u moeilijk te bewijzen zijn dat u daadwerkelijk toestemming heeft gekregen.

U kunt bijvoorbeeld toestemming krijgen met een opgenomen telefoongesprek. U moet daarbij dan wel duidelijke informatie geven. En om een specifieke bevestiging vragen van de persoon. Bijvoorbeeld dat iemand een knop indrukt of duidelijk ‘ja’ of ‘nee’ zegt.

Aantonen dat u toestemming heeft

Volgens de AVG heeft u een verantwoordingsplicht. Om geldige toestemming aan te tonen, moet u niet alleen de toestemming zelf vastleggen. U moet ook kunnen laten zien op basis van welke informatie iemand de toestemming heeft gegeven.

Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie vastleggen over het websitebezoek waarin zij de toestemming hebben gegeven. Deze informatie kunt u combineren met:

  • documentatie over de manier waarop u toestemming ontvangt en vastlegt;
  • een kopie van de informatie die de betrokkenen hebben ontvangen voordat zij toestemming gaven.

Tot slot moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking en de toestemming van een betrokkene kunt aantonen. Let wel op dat u hierbij niet meer data mag verzamelen dan daarvoor noodzakelijk is.

Toestemming ingetrokken

Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven. Zorg er dus voor dat mensen hun toestemming eenvoudig kunnen intrekken.

Wat bijvoorbeeld niet mag: mensen kunnen online met één klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief sturen als zij hun toestemming willen intrekken.

Toestemming bij kinderen

Wilt u persoonsgegevens van kinderen verwerken? En wilt u dat op basis van de grondslag toestemming doen? Dan moet u op deze punten letten:

Bied extra bescherming

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten.

Zorg voor geldige toestemming

Kinderen jonger dan 16 jaar kunnen zelf geen geldige toestemming geven voor het verwerken van hun gegevens. Toestemming is alleen geldig als een van de ouders of verzorgers van een kind deze geeft. En als u daarnaast aan de reguliere vereisten voor toestemming voldoet.

Toestemming bij online verwerking

Verwerkt u gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders of verzorgers.

Deze eis geldt specifiek wanneer u een kind een aanbod doet dat valt onder ‘diensten van de informatiemaatschappij’. Dus als u persoonsgegevens van kinderen wilt gebruiken voor marketingdoeleinden of om persoonlijkheids- of gebruikersprofielen op te stellen. En ook als u persoonsgegevens over kinderen wilt verzamelen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.

Er is 1 uitzondering. Voor hulp- en adviesdiensten die rechtstreeks en gratis aan kinderen worden aangeboden, is geen toestemming van de ouders nodig.

Toestemming bij offline verwerking

Verwerkt u offline gegevens van kinderen? Bijvoorbeeld voor een bestelling in een fysieke winkel? Ook dit mag bij kinderen onder de 16 jaar alleen als een van de ouders of verzorgers hiervoor toestemming heeft gegeven.

Controleer wie toestemming heeft gegeven

Volgens de AVG bent u verplicht om te controleren of de toestemming is gegeven door een van de ouders of verzorgers van het kind. U moet dit kunnen aantonen wanneer de Autoriteit Persoonsgegevens ernaar vraagt.

Let op: Richt u zich op kinderen in een ander EU-land? De AVG biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. In Nederland geldt de leeftijdsgrens van 16 jaar.

Informeer in begrijpelijke taal

De informatie die u geeft over de verwerking van persoonsgegevens moet eenvoudig, toegankelijk en begrijpelijk zijn voor het kind. Dus in duidelijke en eenvoudige taal en waar nodig met visuele ondersteuning.

Uitdrukkelijke toestemming

Als u bijzondere persoonsgegevens van iemand wilt verwerken, heeft u uitdrukkelijke toestemming van die persoon nodig.

Let op: Bepaalt de wet al dat u bijzondere persoonsgegevens mag verwerken? Dan heeft u niet ook nog eens uitdrukkelijke toestemming nodig.

Uitdrukkelijke toestemming is een verzwaarde vorm van toestemming. Daarmee is uitdrukkelijke toestemming (artikel 9 AVG) iets anders dan de ‘normale’, ondubbelzinnige toestemming die een van de 6 grondslagen is om gegevens te mogen verwerken (artikel 6 AVG).

Voor uitdrukkelijke toestemming is meer vereist dan voor ondubbelzinnige toestemming. De term ‘uitdrukkelijk’ verwijst naar de manier waarop betrokkenen hun toestemming tot uitdrukking brengen.

Het betekent dat de betrokkene een uitdrukkelijke verklaring van toestemming moet geven.

Voor de hand ligt dat u hiervoor zorgt met een schriftelijke verklaring van de betrokkene. Om elke twijfel te voorkomen, kunt u die ook laten ondertekenen door de betrokkene. Maar dit is niet de enige manier waarop u uitdrukkelijke toestemming kunt krijgen.

  • In een digitale of online context kan een betrokkene de vereiste verklaring verstrekken door een elektronisch formulier in te vullen, een e-mail te sturen, een gescand document met handtekening te uploaden of een elektronische handtekening te zetten.
  • U kunt ook bezoekers van uw website een scherm aanbieden waarop zij hun uitdrukkelijke toestemming kunnen geven door ‘Ja’ of ‘Nee’ aan te klikken. Let op: De tekst hierbij moet wel duidelijk de toestemming verwoorden. Bijvoorbeeld: ‘Hierbij geef ik toestemming voor de verwerking van mijn gegevens.’ Ook moet u hierbij genoeg informatie geven aan uw bezoekers over wat u met hun gegevens doet als zij toestemming geven.
  • In theorie kan een mondelinge verklaring ook voldoende zijn, maar daarbij kan het voor u moeilijk zijn om te bewijzen dat u aan alle voorwaarden voor geldige uitdrukkelijke toestemming heeft voldaan.

Voor meer informatie, bekijk de AVG-guidelines over toestemming, hoofdstuk 4.

Grondslag overeenkomst

Een van die grondslagen in de AVG is dat het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren. Dit houdt het volgende in:

  • U mag zich op deze grondslag baseren als u een overeenkomst heeft met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is.
  • De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.
  • Deze grondslag geldt ook voor een fase voordat u een overeenkomst afsluit. Bijvoorbeeld als u op verzoek een offerte opstelt.

Soms heeft u toestemming nodig

Let op dat u geen persoonsgegevens verwerkt die niet noodzakelijk zijn om de overeenkomst uit te voeren. Doet u dat wel? Dan moet u daarvoor toestemming of een andere grondslag hebben.

Een voorbeeld: als u online een product verkoopt, moet u adresgegevens verwerken om het product bij iemand te kunnen bezorgen. Wilt u de persoonsgegevens daarnaast gebruiken om het koopgedrag van uw klant te analyseren? Dan moet u hiervoor rechtsgeldige toestemming hebben van uw klant.

Guidelines

De Europese privacytoezichthouders hebben (Engelstalige) guidelines gepubliceerd over de grondslag overeenkomst bij online services.

Zie ook: Guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Grondslag wettelijke verplichting

Is de verwerking van de persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen? Dan kunt u zich op deze grondslag baseren.

Bijvoorbeeld: u heeft een bevel van de politie om bepaalde persoonsgegevens aan de politie te verstrekken. Of: u verstrekt gegevens voor de uitvoering van de belastingwetgeving.

Het hoeft niet expliciet in de wet te staan dat u persoonsgegevens moet verwerken om een specifieke taak uit te voeren. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan u om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan uw verplichting te voldoen.

Geen grondslag bij zeer algemene taak

U kunt zich niet op deze grondslag baseren als het gaat om een zeer algemene taak. Zoals het handhaven van de openbare orde. Daarvoor geldt een andere grondslag, namelijk de grondslag van algemeen belang of openbaar gezag.

Grondslag vitaal belang

U kunt zich maar in enkele gevallen op deze grondslag baseren.

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om gegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.

Een voorbeeld: bij een grootschalige ramp moet de hulpverlening onmiddellijk op gang komen. In die situatie is het onmogelijk om eerst alle betrokken personen te informeren en om toestemming te vragen om hun medische gegevens te verwerken.

Toegang geven aan anderen

Wilt u anderen toegang geven tot de medische gegevens die u op basis van de grondslag vitale belangen verwerkt? Dan mag dat alleen wanneer u de verwerking niet op een andere rechtsgrond kunt baseren.

Grondslag algemeen belang of openbaar gezag

Is de verwerking noodzakelijk om een publieke taak uit te oefenen voor het algemeen belang of openbaar gezag? Dan kunt u zich op deze grondslag baseren. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw organisatie.

Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt om die specifieke wettelijke taak uit te oefenen. 

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Bijvoorbeeld: u zet als gemeente cameratoezicht in op openbare plaatsen voor de openbare veiligheid.

Type organisaties

U hoeft geen bestuursorgaan te zijn om een beroep te kunnen doen op deze grondslag. Ook andere organisaties die een taak van algemeen belang uitoefenen, mogen zich op deze grondslag baseren. Bijvoorbeeld organisaties voor ontwikkelingssamenwerking.

U moet dan wel door de wet zijn aangewezen (bijvoorbeeld met een ministeriële regeling) om deze taak uit te voeren. U kunt dit dus niet zelf bepalen.

Grondslag gerechtvaardigd belang

Om uw verwerking te mogen baseren op de grondslag 'noodzakelijk voor de behartiging van een gerechtvaardigd belang', moet u aan 3 voorwaarden voldoen. Hiermee toetst u of uw recht om persoonsgegevens te verwerken – omdat u een gerechtvaardigd belang heeft om dit te doen – zwaarder weegt dan iemands recht op privacy.

De 3 voorwaarden zijn:

  1. U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
  2. De verwerking is noodzakelijk om dit belang te behartigen.
  3. U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.

Voorwaarde 1: gerechtvaardigd belang

Uw belang is echt een gerechtvaardigd belang als het ergens in het recht is opgenomen. En wordt erkend en beschermd. Dat mag ook in een ongeschreven rechtsregel of rechtsbeginsel zijn. Als het maar gaat om een belang waarvan we in de maatschappij vinden dat het door het recht beschermd moet worden. 

Dit kwalificeert bijvoorbeeld niet als gerechtvaardigd belang:

  • een puur commercieel belang;
  • winstmaximalisatie;
  • het gedrag van werknemers volgen zonder legitieme reden;
  • het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.

Heeft u geen gerechtvaardigd belang? Dan kunt u uw verwerking niet baseren op deze grondslag.

Voorwaarde 2: noodzakelijkheid

Heeft u daadwerkelijk een gerechtvaardigd belang? Dan moet u vervolgens kijken of de verwerking van persoonsgegevens noodzakelijk is om dit belang te behartigen. Dit doet u door na te gaan:

  • Of het doel van uw verwerking in verhouding staat tot de inbreuk op de privacy van de betrokkenen. In de AVG heet dit ‘proportionaliteit’.
  • Of u het doel niet op een andere manier kunt bereiken, die minder ingrijpend is voor de betrokkenen. In de AVG heet dit ‘subsidiariteit’.

Voldoet u niet aan allebei deze eisen? Dan is uw verwerking niet noodzakelijk. En kunt u uw verwerking dus niet baseren op deze grondslag.

Voorwaarde 3: afweging belangen

Heeft u een gerechtvaardigd belang en is de gegevensverwerking noodzakelijk om dit belang te behartigen? Dan moet u tot slot een afweging maken tussen uw belangen en de belangen van de betrokkenen.

Bij deze afweging kijkt u naar:

  • de gevolgen voor de betrokkenen;
  • hoe ernstig de inbreuk is op de privacy van de betrokkenen;
  • welke (aanvullende) maatregelen u heeft genomen om ongewenste gevolgen voor de betrokkenen te voorkomen of beperken;
  • of de betrokkenen de verwerking min of meer kunnen verwachten. Bijvoorbeeld als vervolg op een eerdere verwerking waarvoor zij toestemming hebben gegeven of als vervolg op verwerkingen die noodzakelijk zijn om een contract uit te voeren.

Let op: Wilt u persoonsgegevens verwerken van kinderen (jonger dan 16 jaar)? Dan weegt uw gerechtvaardigd belang minder snel op tegen hun rechten en vrijheden.

Uw afweging kan tot 2 conclusies leiden:

  • De belangen van de betrokkene blijken zwaarder te wegen. U kunt uw verwerking hierdoor niet baseren op de grondslag gerechtvaardigd belang. U mag de gegevens dus niet verwerken.
  • Uw belangen wegen zwaarder. U heeft hierdoor een grondslag om persoonsgegevens te verwerken. U mag de gegevens dus wel verwerken.

Bekijk ook de Normuitleg grondslag gerechtvaardigd belang van de AP.

Voorbeelden gerechtvaardigd belang

Een gerechtvaardigd belang kan bijvoorbeeld zijn:

  • een veilig en gezond leven hebben of eigendommen beschermen in een dreigende situatie;
  • de privésfeer beschermen;
  • inbreuken op een persoonlijkheids- of vermogensrecht tegengaan; 
  • procederen en/of een rechtsvordering instellen, uitoefenen of onderbouwen;
  • grensoverschrijdend gedrag in werkrelaties onderzoeken en beëindigen;
  • fraude, oplichting of ander onrechtmatig gedrag tegengaan;
  • iemand aansprakelijk stellen voor schade;
  • bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten;
  • computersystemen goed beveiligen en beschermen;
  • zorgplichten nakomen voor werknemers en/of klanten;
  • aan alle (zorg)verplichtingen voldoen die u heeft op basis van bijvoorbeeld het Burgerlijk Wetboek.

Het belang moet hierbij wel:

  1. Echt zijn. Dit houdt in dat het niet mag gaan om een mogelijk belang in de toekomst, waarvan u nog niet zeker bent.
  2. Concreet zijn. Dit houdt in dat u het belang duidelijk kunt verwoorden.
  3. Rechtstreeks zijn. Dit houdt in dat het gaat om een belang van uzelf, dus niet een algemeen belang van ‘de samenleving’ of iets dergelijks.

Speciale regels voor bijzondere persoonsgegevens

De verwerking van bijzondere persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een wettelijke uitzondering.  In de AVG staan 10 uitzonderingen.

Dat betekent dat het verbod niet voor u geldt wanneer u zich kunt baseren op een uitzondering én op een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. In de praktijk vallen sommige van die uitzonderingen en grondslagen samen.

Van de 10 uitzonderingen uit de AVG zijn er 5 die alleen van toepassing zijn als hiervoor in de nationale wet een rechtsbasis is gecreëerd. Dat betekent dat u zich alleen op zo’n uitzondering kunt beroepen als er in een Nederlandse wet staat dat dit mag.

De 10 uitzonderingen zijn:

  1. Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van de eigen persoonsgegevens.
  2. Alleen als het in een wet staat: De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van u of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht.
  3. De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om toestemming te geven.
  4. U verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van uw (oud)leden of personen met wie u regelmatig contact heeft, gerelateerd aan uw doelstelling. En u verwerkt de gegevens voor gerechtvaardigde activiteiten en met passende waarborgen.
  5. U verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt.
  6. De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Of u handelt als gerecht vanuit uw rechtsbevoegdheid.
  7. Alleen als het in een wet staat: De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
  8. Alleen als het in een wet staat: De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
  9. Alleen als het in een wet staat: De verwerking is noodzakelijk voor de volksgezondheid.
  10. Alleen als het in een wet staat: De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.

Speciale regels voor strafrechtelijke gegevens

De verwerking van strafrechtelijke gegevens (AVG: persoonsgegevens van strafrechtelijke aard) is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering én op een van de grondslagen voor het verwerken van 'gewone' persoonsgegevens.

Dit zijn de 2 belangrijkste wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens:

  1. De verwerking staat onder toezicht van de overheid.
  2. De verwerking is toegestaan bij nationaal recht. Het gaat dan om Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen bieden voor de rechten en vrijheden van de betrokken personen.

Voor een volledig overzicht van de wettelijke uitzonderingen, zie artikel 32 en 33 van de Uitvoeringswet AVG (UAVG).

Let op: Registers met strafrechtelijke veroordelingen mag u alleen bijhouden onder toezicht van de overheid.

Terug naar onderwerp AVG algemeen

Lees ook

Waar te vinden?

Artikel 6 AVG

Terug naar onderwerp AVG algemeen