Wanneer mag ik persoonsgegevens verwerken?

Verwerken van persoonsgegevens mag niet zomaar. Je moet daar de juiste grondslag voor hebben. De AVG noemt deze grondslagen.

Wat valt er onder persoonsgegevens verwerken?

Eerst even back to the basics, want hier gaat het snel fout. Mensen denken vaak dat “persoonsgegevens verwerken” betekent dat je persoonsgegevens alleen maar opslaat. Het begrip “verwerken” is echter veel breder. De AVG noemt (onder andere): “verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens“.

Grondslagen

De AVG noemt 6 grondslagen waarop je het verwerken van persoonsgegevens mag baseren:

1. De betrokkene heeft toestemming gegeven.
   Dit is de meest bekende grondslag. Deze toestemming moet vrij, specifieke, geïnformeerd en ondubbelzinnig gegeven zijn door de betrokkene. Dat wil zeggen dat de toestemming niet onder chantage gegeven mag zijn, de toestemming niet een voorwaarde voor iets anders moet zijn, de toestemming voor een specifiek doel is gegeven, de toestemming is gegeven aan de hand van informatie over wat er met zijn persoonsgegevens gebeurd (dit staat in de privacyverklaring!) en dat er geen twijfel mag zijn over dat de betrokkene toestemming heeft gegeven.
2. De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
   Voorbeeld 1: je hebt de adresgegevens van je klant nodig, anders kan je geen offerte sturen.
   Voorbeeld 2: je wil de allergiën weten van je klant, anders kun je als diëtist geen passend advies geven.
3. Je hebt een wettelijke verplichting.
   Voorbeeld: je vraagt factuurgegevens van je klant, omdat je dit nodig hebt voor je financiële administratie. Dit ben je wettelijk verplicht bij te houden.
4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Dit zal niet van toepassing zijn op ondernemers.
   Voorbeeld: Je krijgt een ongeluk. De ambulance heeft persoonsgegevens (medische gegevens) nodig om je te behandelen.
5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag. Dit is niet van toepassing op ondernemers.
6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. Dit betekent dat wanneer je persoonsgegevens gaat verzamelen, je deze persoonsgegevens verwerkt omdat je daar een gerechtvaardigd belang bij hebt en dit niet op een andere manier kan. Jouw belang moet worden afgewogen tegen het belang van de betrokkene (het recht op privacy).
   Voorbeeld: Je wil een kerstkaart sturen naar je klant. Je hebt hier gerechtvaardigd belang bij. Je hebt daar het adres van je klant voor nodig. Je zal hiermee niet het recht op privacy schenden van je klant.

Let op!

Kun je het verwerken van persoonsgegevens niet baseren op één van die grondslagen, dan mag het dus niet. Let ook op dat je voor elk doel dat je persoonsgegevens verzamelt, moet verantwoorden (in je privacyverklaring en in je verwerkingsregister) op welke grondslag je dat doet.