In mijn vorige bijdrage heb ik toegelicht hoe ondernemers grip kunnen krijgen op de gevolgen van de AVG voor hun eigen organisatie. Deze keer bespreek ik een aantal belangrijke vernieuwingen en wijzigingen van de AVG.
Doel
Elke verwerking van een persoonsgegeven moet een specifiek doel hebben. Het zo maar verzamelen en verwerken van persoonsgegevens is niet toegestaan. De ondernemer die persoonsgegevens wil verwerken moet kunnen uitleggen waarom hij dat gaat doen. In de relatie tot degene van wie de persoonsgegevens worden verwerkt moet er een specifiek doel zijn. Voor een ander doel mogen de gegevens niet worden verwerkt. De verwerking van de persoonsgegevens moet ook gerechtvaardigd zijn in de relatie tot de betrokkenen.
Een voorbeeld: persoonsgegevens kunnen worden verwerkt om een overeenkomst goed te kunnen uitvoeren. De gegevens kunnen nodig zijn om met een klant contact te kunnen onderhouden, orders te kunnen bezorgen, van belang kunnen zijn details van transactiegegevens zoals bijvoorbeeld de waarde van een woning, het kenteken van een auto of financiele gegevens zoals inkomen en maandlasten.
Rechtmatige grondslag
Naast het doel dient de verwerking ook een in de AVG genoemde rechtmatige grondslag te hebben. De AVG noemt zes grondslagen waarvan vooral de volgende van belang zullen zijn:
Een overeenkomst: een verwerking is nodig om een met de betrokkene gesloten overeenkomst voor te bereiden of uit te voeren;
De wet: een verwerking is nodig om te voldoen aan een wettelijke verplichting. Denk aan de werkgever die verplicht is loonbelasting en premies af te dragen en om die reden het BSN van een werknemer mag verwerken;
Gerechtvaardigd belang: verwerking is ook toegestaan als er een gerechtvaardigd belang is. In dat geval weegt het belang van de ondernemer die persoonsgegevens verwerkt zwaarder dan het recht van de betrokkene die het daar wellicht niet mee een is.
Toestemming: als de betrokkene toestemming geeft is verwerking ook toegestaan (er moet dan overigens nog steeds een concreet doel zijn).
Toestemming
In de praktijk wordt vaak voor de zekerheid maar toestemming gevraagd aan een betrokkene. Toestemming is echter wat wordt genoemd een "restgrond". Als niet één van de andere vijf grondslagen van toepassing is, komt pas toestemming in beeld. Toestemming als grondslag heeft een aantal beperkingen. De eerste is dat volgens de AVG voor toestemming is vereist dat deze vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Er mag dus geen twijfel zijn of er werkelijk toestemming is gegeven. Door deze strenge eisen wordt niet snel aangenomen dat toestemming is gegeven.
In de relatie werkgever en werknemer geldt bijvoorbeeld een gezagsverhouding. Die beperkt het "vrijelijk" geven van toestemming door een werknemer. De werknemer verkeert in een afhankelijke positie ten opzichte van de werkgever en er kan angst zijn voor ontslag of andere maatregelen. Een werkgever mag veel verwerkingen van persoonsgegevens van werknemers uitvoeren op basis van de arbeidsovereenkomst of de wet. Toestemming is in dat geval niet nodig. Als u als werkgever toch toestemming vraagt aan een werknemer let dan op de voorwaarden die hiervoor zijn genoemd. Zorg er ook voor dat de toestemming schriftelijke wordt vastgelegd zodat er achteraf geen misverstanden over kunnen ontstaan. U moet immers kunnen aantonen dat toestemming is gegeven.
Een ander nadeel van toestemming is dat in de AVG is bepaald dat toestemming altijd moet kunnen worden ingetrokken en dat moet net zo gemakkelijk gaan als het verlenen van de toestemming. Het intrekken van toestemming kan betekenen dat u verwerkte gegevens moet verwijderen.
Kortom: wees terughoudend met toestemming als grondslag voor het verwerken van persoonsgegevens.
Tip: vraag u altijd af of toestemming wel de juiste grondslag is en of niet een andere grondslag meer in aanmerking komt. Als u toestemming vraagt, leg de toestemming dan goed vast, bijvoorbeeld door deze te bevestigen.
Dit artikel is geschreven door Arthur Sweens, advocaat voor ondernemers in Alkmaar en Den Helder. Heeft u vragen bel Arthur Sweens op 0223-239 011 of 06 22 42 30 73 (ook voor Whatsapp) of mail naar sweens@knuwer.nl