DPA-Professionals-AVG-6-grondslagen-terug-naar-de-basis
  1. Home
  2. Nieuws, blogs en verhalen
  3. Grondslagen onder de AVG: terug...
Kennis

Grondslagen onder de AVG: terug naar de basis

10 juni '20 3 min Privacy & Informatiebeveiliging

De Autoriteit Persoonsgegevens (AP) legde eind 2019 een boete van 525.000 euro op aan de Koninklijke Nederlandse Lawn Tennisbond (KNLTB). De KNLTB ontving deze boete vanwege het verstrekken van persoonsgegevens van haar leden aan twee sponsors ten behoeve van diens marketingactiviteiten. Volgens de AP had de KNLTB geen rechtmatige grondslag voor het verstrekken van deze gegevens. Dit levert een handeling in strijd met de Algemene Verordening Gegevensbescherming (AVG) op. Hoe zorg je dat je dit als organisatie voorkomt?

Het verwerken van persoonsgegevens zonder rechtmatige grondslag kan verstrekkende consequenties hebben. Denk aan de inzet van sanctiemiddelen door de AP. Het is cruciaal in jouw dagelijkse praktijk aan te tonen dat je deugdelijk omgaat met persoonsgegevens. Wat zijn ook alweer de basisregels en waar moet je als organisatie op letten?

Soorten persoonsgegevens

De AVG kent verschillende soorten persoonsgegevens, waaronder ‘gewone’ en ‘bijzondere’ persoonsgegevens. Gewone persoonsgegevens zijn bijvoorbeeld naam, e-mailadres en telefoonnummer. Bijzondere persoonsgegevens bevatten informatie over iemands gezondheid, ras of godsdienst. Ook biometrische gegevens vallen hieronder. Dit blog focust op de regels met betrekking tot de grondslagen voor het verwerken van gewone persoonsgegevens.

De 6 grondslagen onder de AVG

Organisaties mogen gewone persoonsgegevens enkel verwerken als er een grondslag aanwezig is uit de AVG. De AVG kent zes verschillende grondslagen:

  1. Je hebt toestemming van de betrokkene ontvangen;
  2. Het is noodzakelijk voor de uitvoering van een overeenkomst waar de betrokkene partij bij is;
  3. Het is noodzakelijk om de gegevens te verwerken omdat er een wettelijke verplichting geldt;
  4. Het is noodzakelijk om een taak van algemeen belang of openbaar gezag uit te oefenen;
  5. Het is noodzakelijk om gegevens te verwerken om je gerechtvaardigd belang te behartigen;
  6. Het is noodzakelijk om het vitaal belang van de betrokkene of een ander persoon te beschermen.

Het bepalen van de grondslag

Denk goed na of je gewone persoonsgegevens kunt verwerken op basis van één van de bovengenoemde grondslagen. Zo ja, welke grondslag is dan van toepassing en waarom juist die grondslag? De grondslag bepaal je voorafgaand aan de verwerkingsactiviteit. Bedenk je dit erna pas, dan handel je als organisatie in strijd met de AVG. Zorg er daarom voor dat je een goed ingericht proces hebt om de grondslag tijdig met de juiste mensen binnen de organisatie te bepalen. Bijvoorbeeld met een compliance officer, privacy officer of business owner. Bepaal aan de hand van het specifieke verwerkingsdoeleinde en de context van de verwerking welke grondslag passend is.

Het vastleggen en vermelden van de grondslag

Is een grondslag bepaald, dan moet hij opgenomen worden in het verwerkingsregister. Daarin leg je alle verwerkingsactiviteiten en grondslagen van de verwerkingsactiviteiten vast met de daaraan gerelateerde informatie die de AVG vereist. Lees meer over het inrichten van een juist en up-to-date verwerkingsregister.

Daarnaast ben je als organisatie verplicht de betrokkene waarvan je persoonsgegevens verwerkt, voorafgaand aan de verwerkingsactiviteit te informeren. Dit doe je als organisatie bijvoorbeeld door middel van de privacyverklaring op je website. Daarin neem je onder andere informatie over de grondslag(en) op. Een betrokkene is op deze wijze op de hoogte van de verwerking van zijn/haar persoonsgegevens en de grondslagen waarop jouw organisatie zich baseert.

Hoe toon je de grondslag aan?

Als organisatie ben je onder de AVG verplicht om verantwoording af te af leggen over jouw verwerkingsactiviteiten. Dit geldt ook voor de grondslag die je voor je verwerkingsactiviteiten bepaalt. Zorg er dus voor dat je goed onderbouwt en vastlegt waarom je je voor een specifieke verwerkingsactiviteit op een bepaalde grondslag baseert. Deze informatie neem je bijvoorbeeld in je verwerkingsregister op, zodat alle informatie met betrekking tot de verwerkingsactiviteit in dit register raadpleegbaar is.

Geen grondslag… is geen rechtmatige verwerking!

Bij het bepalen van een grondslag is het belangrijk bepaalde aspecten in acht te nemen. Zorg ervoor dat je processen goed hebt ingericht, de grondslag hebt vastgelegd en onderbouwd en dat je de betrokkene vooraf informeert om overtreding van de AVG te voorkomen. En onthoud, geen grondslag… is geen rechtmatige verwerking!

Versterking nodig van een privacy specialist?

Heb je hulp nodig bij het bepalen van de grondslagen of andere privacyvraagstukken? Ons team van interim privacy & security counsels staat voor je klaar. 

Bekijk de mogelijkheden binnen DPA
DPA-Professionals-Privacy-informatiebeveiliging-Denise-Brouwer
Denise Brouwer

Interim privacy counsel

Over de auteur

Denise Brouwer is interim privacy counsel bij DPA. Ze voorziet organisaties van praktisch juridisch advies over privacy, technologie en informatiebeveiliging. Denise deed eerder werkervaring op bij de Merkplaats, Cofra Holding, Blokker B.V. en Feenstra N.V.

Deze artikelen vind je misschien ook interessant

DPA-Professionals-privacy-informatiebeveiliging-blog-AVG-fadoua-sahraou
Kennis

Privacybescherming in coronatijd: met de AVG alleen komen we er niet!

20 mei '20 3 min Privacy & Informatiebeveiliging
DPA-Professionals-Privacy-informatiebeveiliging-verwerkingsregister-AVG-4-tips
Kennis

4 tips voor een juist en up-to-date verwerkingsregister

29 april '20 3 min Privacy & Informatiebeveiliging
DPA-Professionals-Privacy-corona-app-richtlijnen2
Kennis

Corona-app ontwikkelen? Dit zijn de 6 privacyrichtlijnen

17 april '20 3 min Privacy & Informatiebeveiliging
Meer weten?

Neem contact op met Paul over
Privacy & Informatiebeveiliging

DPA-Professionals-privacy-informatiebeveiliging-contact-directeur-Paul-Schraven

Paul

Directeur privacy & informatiebeveiliging Bel Paul +31652302240