Grondslagendiscussie I (‘gewone’ persoonsgegevens)

Vervolgens zal ik kort ingaan op de voor- en nadelen van sommige grondslagen. Op zich is één grondslag al voldoende voor de rechtvaardiging van de verwerking. Maar, in alle gevallen betreft het uitzonderingen op het grondrecht van bescherming van de persoonlijke levenssfeer en de grondslagen moeten daarom beperkt worden uitgelegd.

1. Ondubbelzinnige toestemming (voor een of meer specifieke doeleinden);
2. Noodzakelijk voor het aangaan of het uitvoeren van een overeenkomst, waarbij de betrokkene partij is;
3. Noodzakelijk om aan wettelijke verplichtingen te voldoen, die op de verantwoordelijke rusten;
4. Noodzakelijk ter vrijwaring van een ‘vitaal belang’ van de betrokkene (of van een andere natuurlijke persoon);
5. Noodzakelijk voor de goede vervulling van een publiekrechtelijke taak;
6. Belangenafweging (maar niet voor overheidsinstanties).

Onder de Wbp wordt aangenomen dat de toestemming van iemand die (bijvoorbeeld als gevolg van een arbeidsverhouding) ondergeschikt is, niet als ‘ondubbelzinnig kan gelden. Onder de AVG vervalt het woord ‘ondubbelzinnig’. Maar artikel 7 AVG en de overwegingen daarbij zijn net zo streng: de toestemming moet in eenvoudige en begrijpelijke taal worden gevraagd; inactiviteit, stilzwijgen of het accorderen van reeds aangevinkte hokjes geldt niet als toestemming; verder moet ook onder de AVG de toestemming in vrijheid worden gegeven. Voor het praktische gebruik is belangrijk dat ‘toestemming’ te allen tijde kan worden ingetrokken. Daarmee vervalt niet de grondslag voor de verwerking in het verleden, maar wel voor de toekomst. Waar een verantwoordelijke zich wil baseren op ‘toestemming’ van de betrokkene, zal deze rekening moeten houden met intrekking daarvan en een proces moeten inregelen, waarbij aan een intrekking gevolg wordt gegeven. Dit moet in het ontwerp van de gegevensverwerking worden ingebed (privacy by design).

Het is belangrijk te beseffen dat voor de ‘b’-grond de betrokkene zelf partij is bij de (beoogde) overeenkomst. Waar de overeenkomst door de verantwoordelijke met een derde wordt aangegaan en de betrokkene geen partij is, kan de verantwoordelijke deze grond niet als grondslag voor de verwerking gebruiken.

Volgens de AVG moet de desbetreffende wet- (of regel-)geving duidelijk en nauwkeurig zijn en de toepassing daarvan moet voorspelbaar zijn. Als voorbeeld kunt u denken aan ondernemers, die ook instellingen zijn in de zin van de wet ter voorkoming van witwassen en financiering van terrorisme of de onderzoeksplicht, die bijvoorbeeld een controlerend accountant heeft.

Dit moet letterlijk gaan om zaken van levensbelang, bijvoorbeeld verwerking van persoonsgegevens noodzakelijk om iemands leven te redden. Maar er lijken ook openingen te zijn voor verwerking van persoonsgegevens op geaggregeerd niveau in het belang van de volksgezondheid, zij het dat anonimiseren dan voor de hand ligt om bovenmatige verwerking te voorkomen.

Dit belang moet een algemeen belang dienen, evenredig zijn en het moet voldoende specifiek omschreven worden, net zoals de doelbinding, opslagperioden en verwerkingsactiviteiten en –procedures.

Deze grond veronderstelt een belangenafweging tussen de privacybescherming van de betrokkene en de noodzaak tot verwerking in het belang van de betrokkene of een derde. Voorbeelden zijn bijvoorbeeld een klantrelatie of een arbeidsverhouding, maar ook fraudepreventie en direct marketing en netwerk- en informatiebeveiliging. Maar in alle gevallen moet een zorgvuldige afweging plaatsvinden en moet de verantwoordelijke er zorg voor dragen dat de verwerking niet bovenmatig is. Per 25 mei 2018 gaat deze grond niet langer op voor overheidsinstanties, omdat de AVG ervan uitgaat dat de wetgever de gegevensverwerkingen voor overheidsinstanties uitdrukkelijk regelt.

Zoals aangegeven is één van deze zes grondslagen voldoende om een verwerking te kunnen rechtvaardigen. Maar de verantwoordelijke wil liever meer zekerheid voor de verwerking van persoonsgegevens, zodat bij intrekking van de toestemming, wetswijziging of een wijziging in een van de variabelen van de belangenafweging geen kostbare ingrepen noodzakelijk zijn. Is het nu handig om voor meerdere ankers te gaan liggen? Vanuit een oogpunt van zekerheid wel, natuurlijk, maar bedenk dat iedere grond vereist dat iemand de desbetreffende grond moet monitoren en waar nodig de registers van de verantwoordelijke moet aanpassen. Meer gronden betekent dus een zwaardere administratieve last. Voor de grondslag ‘toestemming van de betrokkene’ zal het daarbij de vraag zijn of de verantwoordelijke wel aan de ‘willekeur’ van de betrokkene overgeleverd wil zijn.  Een goed voorbereide verantwoordelijke heeft de doeleinden en de grondslagen voor iedere verwerking natuurlijk wel goed in beeld en gedocumenteerd.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.