Grondslagen Voor Het Verwerken Van Persoonsgegevens

Ismail Özkan
By: Ismail Özkan AVG | 9 december

Veel mensen geloven dat toestemming de enige echte wettelijke grondslag is voor de verwerking van persoonsgegevens, maar dat is niet het geval. Een wettelijke grondslag zou ook de vorm kunnen aannemen van gerechtvaardigd belang of een contract. Maar hoeveel kennis van de verschillende soorten grondslagen kun je van je werknemers verwachten? Deze blogpost gaat over de juridische grondslag voor de verwerking van persoonsgegevens. Daarnaast worden hier voorbeelden gegeven van wat je werknemers op een normale werkdag zouden moeten weten en doen wanneer ze op uitdagingen stuiten omtrent het verwerken van persoonsgegevens.

Ongeacht hun grootte en type verwerken vrijwel alle organisaties op de een of andere manier wel persoonsgegevens. Dat komt doordat persoonsgegevens nu eenmaal overal zijn en kunnen bestaan uit bijvoorbeeld een naam, adres, haarkleur, zoekgeschiedenis op het internet of politieke voorkeur. Eigenlijk alles wat teruggeleid kan worden tot een specifiek persoon.

Dit betekent ook dat er veel momenten zijn waarop je organisatie mogelijk persoonsgegevens moet verwerken. Denk eraan dat het jouw organisatie is die die gegevens beheerst en dat je daarom in iedere situatie een juridische grondslag nodig hebt voor het verwerken van persoonsgegevens.

Misschien heb je al correcte werkwijzen in je organisatie geïmplementeerd om te voldoen aan verscheidene regels voor de privacy- en gegevensbescherming, zoals de AVG. Mogelijk hebben je advocaten kennis van de gegevensverwerkingswetten en heb je zelfs werknemers opgeleid om met persoonsgegevens om te kunnen gaan.

Toch gebeurt het vaak dat je teamleden, ongeacht of ze zijn opgeleid om in hun dagelijkse taken aan de AVG te voldoen, twijfelen over hoe ze met persoonsgegevens moeten omgaan in onbekende situaties.  

Vrijwel iedereen verwerkt persoonsgegevens

De meeste mensen achter computers komen in contact met persoonsgegevens en vermoedelijk heeft je organisatie een juridische grondslag vastgesteld om deze te kunnen verwerken. Dit is meestal het geval voor routinetaken, zoals wanneer je de toestemming van klanten vraagt om ze voor je nieuwsbrief in te schrijven, of wanneer je via de arbeidsovereenkomst een wettelijke grondslag hebt voor het verwerken van de persoonsgegevens van je werknemers.

En dat is mooi, maar…

Dit geldt meestal alleen voor de mensen binnen het team die persoonsgegevens verwerken als onderdeel van hun standaard takenpakket. Zij zijn eraan gewend en weten wat ze moeten doen. Aangezien persoonsgegevens echter overal zijn, doen er zich voortdurend nieuwe situaties voor waarbij andere mensen persoonsgegevens moeten verwerken, en die personen weten mogelijk niet hoe ze een wettelijke grondslag kunnen verkrijgen of dát ze dat überhaupt moeten doen.

Smart CTA_e-book NL

Onbekende situaties komen constant voor

Zoals al eerder genoemd is ontstaat dit probleem vaak wanneer je teamleden in nieuwe, onbekende situaties terechtkomen. Dit kan bijvoorbeeld zijn wanneer ze een nieuw projectidee hebben of wanneer ze een taak moeten afhandelen die slechts een eenmalig initiatief is.

Stel dat je organisatie een kerstborrel wil organiseren voor het team en ook hun gezinnen wil uitnodigen. Eén van je werknemers krijgt de taak om het evenement te organiseren. Deze persoon moet vervolgens informatie verzamelen over wie met hun gezinnen bij het evenement aanwezig zullen zijn, wat hun namen zijn en of ze dieetvoorschriften hebben. Het gaat hier om een enorme hoeveelheid persoonsgegevens en als gegevensverwerker moet je organisatie hier een juridische grondslag voor hebben.

Andere voorbeelden van onbekende situaties zijn bijvoorbeeld:

Online talent pool: Je HR-afdeling wil een nieuwe talent pool opzetten waarvoor kandidaten die wel voor je bedrijf willen werken hun cv kunnen indienen, waarna de HR-afdeling hen vervolgens relevante toekomstige vacatures kan sturen. Je HR-afdeling vindt het een geweldig idee, want zo kunnen ze zien wie er interesse heeft in je bedrijf en krijgen ze zodra er nieuwe vacatures vrijkomen beschikking tot een groep potentiële kandidaten.

Instagram-wedstrijdjes: Je marketingafdeling is met het geweldige idee gekomen om je online aanwezigheid te vergroten. Om zoveel mogelijk interactie te vergaren willen ze een loterij op Instagram organiseren. Alles wat je klanten hoeven te doen is je bericht leuk vinden en in een reactie aangeven wat zij het leukst vinden aan jouw producten, waarna jij aan het eind van de maand de winnaar trekt die een cadeaubon voor je bedrijf ontvangt.

Leverancierscontacten: Je bedrijf groeit en nu is er meer dan één persoon die verantwoordelijk is voor het contact met je leveranciers. Om makkelijker zichtbaar te maken wie de contactpersoon is van elk van je leveranciers besluit je een gedeeld Excel-bestand aan te maken met een lijst aan leveranciers, de contactpersonen van iedere leverancier én hun titel, e-mailadres en telefoonnummer.

Zoals in deze voorbeelden te zien is moet niet alleen de juridische afdeling van je bedrijf stilstaan bij de wettelijke grondslag voor het verwerken van persoonsgegevens. De meeste teamleden moeten op een gegeven moment wel persoonsgegevens verwerken en het hebben van een grondslag is daarvoor essentieel.

Soorten grondslagen voor het verwerken van persoonsgegevens

Eén soort grondslag voor het verwerken van persoonsgegevens die iedereen waarschijnlijk wel kent is toestemming. Wanneer je je inschrijft voor een online nieuwsbrief van een website word je gevraagd het bedrijf toestemming te geven voor het verwerken en opslaan van je persoonsgegevens, zoals je naam en e-mailadres. Normaal gesproken geef je deze toestemming door een hokje aan te vinken dat expliciet aangeeft dat jij accepteert dat de website jouw informatie kan verwerken.

Toestemming geven voor de verwerking van persoonsgegevens is iets wat we allemaal goed kennen. Die toestemming is echter slechts één van vele types grondslagen voor het verwerken van persoonsgegevens. Hieronder presenteren we een aantal soorten wettelijke grondslagen voor het verwerken van persoonsgegevens, plus enkele voorbeelden.

legal-grounds-NL

Dit zijn slechts enkele van de vele soorten grondslagen voor het verwerken van persoonsgegevens. Welk type je wanneer moet gebruiken is afhankelijk van de specifieke situatie en er is niet één enkele beste soort die overal perfect op aansluit. Daarom is het aan jouw organisatie om de achterliggende grondslag te bepalen, afhankelijk van de specifieke context.

Je teamleden hoeven geen juridische experts te zijn

Hoewel de meeste teamleden gegevens verwerken, is het voldoende als zij op de hoogte zijn van de wettelijke grondslag en dat ze vertrouwd zijn met het naleven van de regels. Dit betekent niet dat iedereen een expert hoeft te zijn in de AVG en andere wetgevingen. Het punt is dat je het bewustzijn onder je werknemers moet verspreiden dat die grondslag voor het verwerken van persoonsgegevens iets is waar zij aan moeten denken, vooral in nieuwe en onbekende situaties.

Als we bijvoorbeeld terugdenken aan het voorbeeld van het organiseren van het kerstfeest, zou de werknemer die het evenement moet organiseren om advies kunnen vragen bij je Data Protection Officer (DPO) betreffende de afhandeling hiervan. De grondslag voor deze verwerking zou bijvoorbeeld onder gerechtvaardigd belang kunnen vallen, aangezien je werknemers zich bewust zijn van wie de informatie verzameld wordt en waarvoor deze gebruikt gaat worden. Het zou echter kunnen dat je DPO nog wat nuttig advies heeft voor de persoon die het evenement organiseert, zoals hoe die de gegevens kan opslaan en naderhand vernietigen.

Kortom, het zijn je advocaten, juridische afdeling of DPO die verantwoordelijk zouden moeten zijn voor het uitvogelen van de juridische grondslag voor het verwerken van persoonsgegevens. Zij zijn het die de juridische voorbereidingen moeten treffen voor het verkrijgen van de grondslag, en niet je gewone werknemers.

Je team moet er echter wel van op de hoogte zijn dat ze mogelijk een grondslag nodig hebben en ze moeten bij twijfel contact kunnen opnemen met het juridische team. In deze context is jouw taak het creëren van bewustzijn onder je werknemers en er zeker van zijn dat zij iemand hebben wie ze om advies kunnen vragen met betrekking tot juridische kwesties.  

Uiteindelijk komt alles neer op bewustzijn

Samengevat, er zijn veel momenten waarop je werknemers mogelijk persoonsgegevens moeten verwerken en jij moet ervoor zorgen dat ze daarvoor een juridische grondslag hebben. Persoonsgegevens zijn overal, evenals de noodzaak om deze te verwerken. Of het nu om je team, je klanten, je leveranciers of om wie dan ook die met jouw bedrijf in contact komt gaat, je hebt een grondslag nodig om persoonsgegevens te mogen verwerken. Je kunt niet van je team verwachten dat ze AVG-experts worden, maar je kunt er wel voor zorgen dat de grondslag wordt afgehandeld door het bewustzijn onder je werknemers te creëren dat ze bij twijfel advies moeten inwinnen bij die verantwoordelijke persoon of afdeling. Dit houdt in dat je topprioriteit hier het creëren van bewustzijn onder je werknemers is en ervoor te zorgen dat je een persoon of afdeling in dienst hebt die je werknemers kunnen raadplegen.