Volgens de AVG mag je persoonsgegevens alleen verwerken als je daar een geldige reden voor hebt: een grondslag. De wet kent er precies zes. Voor elke verwerking moet je vooraf weten welke van toepassing is. Zonder grondslag is de verwerking onrechtmatig, hoe goed je bedoelingen ook zijn.
De zes grondslagen
Artikel 6 van de AVG noemt zes grondslagen. Eén ervan moet gelden voordat je begint:
- Toestemming: de persoon heeft vrij en duidelijk ja gezegd, en kan dat ook weer intrekken.
- Overeenkomst: de verwerking is nodig om een contract uit te voeren, bijvoorbeeld een bestelling leveren.
- Wettelijke plicht: een wet verplicht je tot de verwerking, zoals de belastingadministratie.
- Vitaal belang: het is nodig om iemands leven te beschermen, bijvoorbeeld medische noodhulp.
- Publieke taak: een overheidstaak van algemeen belang vereist de verwerking.
- Gerechtvaardigd belang: je hebt een zwaarwegend eigen belang dat zwaarder weegt dan de privacy-impact, na een afweging.
Toestemming is niet altijd de beste keuze
Veel mensen denken dat je voor alles toestemming nodig hebt. Dat klopt niet. Toestemming is juist een zwakke grondslag, want die kan op elk moment worden ingetrokken, waarna je moet stoppen.
Voor een klantbestelling is "overeenkomst" logischer, voor een nieuwsbrief vaak "gerechtvaardigd belang" of toestemming, en voor een loonadministratie "wettelijke plicht". Kies de grondslag die echt past, niet automatisch toestemming.
Het gerechtvaardigd belang: let op de afweging
De grondslag "gerechtvaardigd belang" is flexibel maar vraagt om een bewuste afweging tussen jouw belang en de privacy van de betrokkene. Direct marketing naar bestaande klanten kan eronder vallen; het volgen van mensen zonder dat ze het weten meestal niet.
Leg die afweging vast. Bij een controle van de Autoriteit Persoonsgegevens moet je kunnen laten zien waarom jouw belang zwaarder woog en welke maatregelen je nam om de impact te beperken.
Zo verwerk je dit in je awarenessprogramma
Grondslagen zijn voor de meeste medewerkers te abstract; richt je awareness op herkenning, niet op juridische details.
- Train vooral de reflex 'verwerken vereist een reden' bij rollen die data verzamelen, zoals marketing, HR en sales.
- Gebruik een beslishulp of een voorbeeld per grondslag in plaats van de wettekst.
- Koppel het aan je beleid en verwerkingsregister, zodat theorie en praktijk samenvallen.
- Bied verdieping aan functionarissen en proceseigenaren via onze cursuscatalogus.
Related articles
- Wat is de AVG? De grondbeginselen in begrijpelijke taal
- Persoonsgegevens herkennen: wat valt er wél en niet onder?
FAQ
Wat is een grondslag in de AVG?
Een wettelijk toegestane reden om persoonsgegevens te verwerken. De AVG kent er zes (artikel 6). Voor elke verwerking moet er minstens één van toepassing zijn, anders is de verwerking onrechtmatig.
Heb ik altijd toestemming nodig?
Nee. Toestemming is maar één van de zes grondslagen en vaak niet de handigste, omdat die kan worden ingetrokken. Voor veel verwerkingen passen overeenkomst, wettelijke plicht of gerechtvaardigd belang beter.
Wat is gerechtvaardigd belang?
Een grondslag waarbij jouw zwaarwegende belang de verwerking rechtvaardigt, mits dat zwaarder weegt dan de privacy-impact. Je moet die afweging maken en vastleggen, en de impact zo veel mogelijk beperken.
Kan ik tijdens een verwerking van grondslag wisselen?
Dat is risicovol en meestal niet toegestaan. Je bepaalt de grondslag vooraf en bent daar transparant over. Achteraf wisselen ondermijnt het vertrouwen en kan onrechtmatig zijn.
Wie controleert of mijn grondslag klopt?
In Nederland de Autoriteit Persoonsgegevens, in België de Gegevensbeschermingsautoriteit. Zij kunnen vragen om je onderbouwing, dus leg vast welke grondslag je koos en waarom.