GDPR 101: rechtsgrondslagen

Image of Carlo Cilento

Gepubliceerd op 21 nov 2022 en bijgewerkt op 13 dec 2023 door Carlo Cilento

Dit artikel is een vervolg op onze oudere blog over toestemming onder de GDPR, waarin we kort hebben uitgelegd hoe toestemming werkt en wat de beperkingen van toestemming zijn. We hebben kort vermeld dat toestemming niet altijd nodig is, en dat persoonsgegevens soms rechtmatig kunnen worden verwerkt zonder toestemming van een betrokkene.

Vandaag gaan we nader in op alle andere rechtsgronden voor de verwerking van gegevens onder de GDPR. Dat is genoeg materiaal om een boek over te schrijven, dus we houden het zo kort en eenvoudig mogelijk.

  1. Wat is een rechtsgrondslag?
  2. Wat zijn de rechtsgronden onder de GDPR?
  3. Welke rechtsgrond moet ik kiezen?
  4. De rechtsgrondslagen
    1. Contract
    2. Gerechtvaardigd belang
    3. Wettelijke verplichting
    4. Vitaal belang
    5. Openbaar belang of uitoefening van het openbaar gezag
  5. Slotopmerkingen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

  1. Wat is een rechtsgrondslag?
  2. Wat zijn de rechtsgronden onder de GDPR?
  3. Welke rechtsgrond moet ik kiezen?
  4. De rechtsgrondslagen
    1. Contract
    2. Gerechtvaardigd belang
    3. Wettelijke verplichting
    4. Vitaal belang
    5. Openbaar belang of uitoefening van het openbaar gezag
  5. Slotopmerkingen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

Wat is een rechtsgrondslag?

In een notendop: om gegevens rechtmatig te verwerken1, moet je je beroepen op een van de zes rechtsgrondslagen die in artikel 6 GDPR worden opgesomd. Vanuit praktisch oogpunt kunt u deze voorwaarden beschouwen als alternatieve vereisten waaraan moet worden voldaan wanneer gegevens moeten worden verwerkt.

Wat zijn de rechtsgronden onder de GDPR?

Art. 6, lid 1, noemt zes rechtsgrondslagen:

  • toestemming
  • de uitvoering van een overeenkomst
  • het voldoen aan een wettelijke verplichting
  • het vitale belang van de betrokkene of een andere natuurlijke persoon
  • de uitvoering van een taak van algemeen belang/uitoefening van het openbaar gezag
  • het gerechtvaardigd belang van de voor de verwerking verantwoordelijke

Aan deze rechtsgronden zijn specifieke eisen verbonden, die kunnen worden beschouwd als een reeks "voors en tegens". Toestemming moet bijvoorbeeld vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn "2. Als niet aan deze vereisten kan worden voldaan, moet een andere grond worden gebruikt. Soms zijn er twee of meer gronden beschikbaar, terwijl er soms helemaal geen grond beschikbaar is, in welk geval de gegevens niet mogen worden verwerkt.

Er zij op gewezen dat er geen rangorde tussen de rechtsgronden bestaat. Het staat een voor de verwerking verantwoordelijke bijvoorbeeld vrij om te kiezen tussen toestemming (als eerste genoemd) en gerechtvaardigd belang (als laatste genoemd), mits in dat specifieke scenario aan de vereisten voor elke grond kan worden voldaan.

Welke rechtsgrond moet ik kiezen?

Zoals gezegd zijn aan elke grond specifieke eisen verbonden. Soms is er maar één beschikbaar, zodat u geen keuze hebt. Op andere momenten kunt u de luxe hebben om te kiezen tussen twee of meer.

Elke rechtsgrond heeft voor- en nadelen. Laten we bijvoorbeeld aannemen dat u kunt kiezen tussen toestemming en rechtmatig belang. Kiest u voor toestemming, dan moet u in de eerste plaats verzamelen. U moet er ook voor zorgen dat aan de toestemmingsvereisten (vrij gegeven, geïnformeerd, specifiek, ondubbelzinnig) wordt voldaan. Ten slotte moet u zich ervan bewust zijn dat toestemming kan worden ingetrokken en moet u voorbereid zijn op die mogelijkheid.

Als u zich op een legitiem belang beroept, hoeft u geen toestemming te vragen en hoeft u zich geen zorgen te maken dat de toestemming later wordt ingetrokken. Maar u moet uw belang afwegen tegen de rechten van de betrokkene, en de betrokkene kan bezwaar maken tegen de verwerking (waarover later meer).

Het komt dus aan op een beoordeling per geval. Als de verwerking bijvoorbeeld zeer ingrijpend is, kan het moeilijk zijn uw legitieme belang af te wegen en kan toestemming een betere keuze zijn. Aan de andere kant, als u zeer bezorgd bent over het intrekken van toestemming, kunt u overwegen om in plaats daarvan het gerechtvaardigd belang in aanmerking te nemen. Er is echt geen pasklare oplossing, en dat maakt het leuk.

Dat gezegd zijnde, hebben alle gronden specifieke vereisten, en als gevolg daarvan zijn sommige gemakkelijker beschikbaar voor bepaalde voor de verwerking verantwoordelijken. Bedrijven en andere particuliere entiteiten beroepen zich doorgaans op toestemming, contract en legitiem belang. Publieke entiteiten daarentegen beroepen zich meestal op wettelijke verplichting of openbaar belang/bevoegdheid3.

GDPR legal bases

De rechtsgrondslagen

We hebben al gesproken over toestemming, dus we zullen de andere gronden bekijken. Er is veel te zeggen over rechtsgronden, en we kunnen hier slechts een tipje van de sluier oplichten.

Contract

Op grond van art. 6(1)(b) GDPR kunt u gegevens verwerken wanneer de verwerking "noodzakelijk is * voor de uitvoering van een overeenkomst"* met de betrokkene of om op diens verzoek een overeenkomst aan te gaan. Als u bijvoorbeeld goederen naar een klant verzendt, hebt u een afleveradres en contactgegevens nodig om de verzending goed te laten verlopen. U kunt deze gegevens verwerken op basis van de uitvoering van uw contract met de klant.

Het contract is een handige en probleemloze rechtsgrondslag. Aan de andere kant is het vrij beperkend wat betreft de gegevens die mogen worden verwerkt, omdat het begrip "noodzaak" strikt moet worden geïnterpreteerd en in relatie tot het eigenlijke voorwerp van het contract.

Met andere woorden, u kunt niet voorzien in de verwerking van onnodige gegevens in een contract als een handig excuus om u op deze rechtsgrond te beroepen. De gegevensbeschermingsautoriteiten laten je het systeem niet zo bedriegen. Dit gezegd zijnde, is het niet altijd duidelijk of de verwerking van bepaalde gegevens essentieel is voor een contract, zodat er in de praktijk grijze gebieden kunnen zijn.

Er moet enige duidelijkheid komen tussen de gronden contract en toestemming. Voor alle duidelijkheid: toestemming voor het contract en toestemming voor de verwerking van de gegevens is niet hetzelfde. Toch is het, wanneer de verwerking deel uitmaakt van een contract, een goed idee om voor de zekerheid de rechtsgrondslag voor de verwerking van de gegevens expliciet aan te geven. Dit kan problemen in de toekomst voorkomen en helpt de verantwoordelijke voor de verwerking te voldoen aan zijn transparantieverplichtingen op grond van artikel 13. 13

Gerechtvaardigd belang

Op grond van artikel 6, lid 1, onder f), kunnen gegevens worden verwerkt wanneer dit noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van een derde. Een bedrijf kan bijvoorbeeld bewakingscamera's in zijn gebouwen installeren op basis van zijn legitieme belang om zijn eigendom te beschermen.

Het begrip legitiem belang is zeer ruim. Het kan betrekking hebben op het belang van een persoon om zijn eigendom te beschermen, het belang van een bedrijf om zijn bedrijf te runnen of reclame te maken voor een product, het belang van een NGO om humanitaire doelen na te streven, en het belang van een website om advertentie-inkomsten te genereren. Zelfs een algemeen belang kan soms worden ingeroepen om een beroep te doen op een rechtmatig belang.

Legitiem belang is dus een zeer flexibele grond en kan voor vele doeleinden worden gebruikt. Maar deze flexibiliteit gaat gepaard met een specifieke beperking (en nalevingslast): de voor de verwerking verantwoordelijke moet ervoor zorgen dat zijn belang niet zwaarder weegt dan de belangen, rechten en vrijheden van de betrokkenen.

Deze beoordeling wordt gewoonlijk aangeduid als afweging. Kort gezegd bestaat de afweging uit drie vragen#4 is het belang legitiem? Is de verwerking noodzakelijk? En tast de verwerking de positie van de betrokkene onevenredig aan?

Dit klinkt eenvoudig genoeg, maar het is behoorlijk lastig. De afweging moet per geval worden gemaakt en er moet met veel variabelen rekening worden gehouden. Om terug te komen op ons voorbeeld: zijn de camera's altijd actief of alleen buiten werktijd? Staan de camera's op de parkeerplaats van het bedrijf, of staan ze op de werkplek waar ze beelden kunnen opnemen van werknemers die aan het werk zijn? Nemen de camera's beelden op van voetgangers die over straat lopen? Al deze vragen zijn relevant voor de afweging van het rechtmatig belang.

In de praktijk zal de voor de verwerking verantwoordelijke de afweging doorgaans uitvoeren door een beoordeling op te stellen (legitimate interest assessment of LIA). Hoewel dit volgens de GDPR niet verplicht is, is een schriftelijke beoordeling de eenvoudigste manier voor de verwerkingsverantwoordelijke om aan te tonen dat hij zijn huiswerk heeft gedaan met betrekking tot de afweging5.

Er is veel meer te zeggen over afweging6, en we kunnen hier niet te diep op ingaan. Maar het komt erop neer dat balanceren lastig is, en dat je dit in overweging moet nemen wanneer je besluit je te beroepen op legitiem belang. Aan de andere kant is legitiem belang een zeer flexibele grond, zodat het in sommige scenario's uw enige keuze kan zijn.

Twee laatste punten. Ten eerste bepaalt de GDPR dat overheidsinstanties zich bij de uitvoering van hun taken niet op deze grond kunnen beroepen7. Ten tweede heeft de betrokkene het recht om bezwaar te maken tegen de verwerking van zijn gegevens op basis van een gerechtvaardigd belang8. Dit recht fungeert met name als een opt-out mechanisme voor de verwerking van persoonsgegevens voor direct marketing9. We gaan hier niet verder op in, maar als je nieuwsgierig bent, is de website van de ICO een goede bron van informatie over dit onderwerp (er is in dit opzicht geen verschil tussen de GDPR en de GDPR in het VK).

Wettelijke verplichting

Op grond van art. 6, lid 1, onder c), kunnen persoonsgegevens worden verwerkt wanneer de verwerking "noodzakelijk is om een wettelijke verplichting na te komen." Een bank kan bijvoorbeeld de persoonsgegevens van haar klanten verwerken om te voldoen aan haar verplichtingen op grond van de antiwitwasregelgeving.

In artikel 6, lid 3, bepaalt voorts dat de bron van een wettelijke verplichting het recht van de EU of van een lidstaat moet zijn. Het begrip "recht" is ruim en omvat regels zoals administratieve besluiten of rechterlijke beslissingen10. Hoe dan ook, dit "recht" moet voldoen aan specifieke vereisten die door de GDPR zijn vastgesteld. Dit betekent dat de lidstaten een verwerking van persoonsgegevens niet rechtmatig kunnen maken door eenvoudigweg een wet voor dat doel te creëren.

Net als de uitvoering van een contract is een wettelijke verplichting een relatief probleemloze grond, maar ook zeer beperkend ten aanzien van welke gegevens mogen worden verwerkt.

Vitaal belang

Volgens artikel 6, lid 1, onder d), kunnen gegevens worden verwerkt om de vitale belangen van de betrokkene of van een andere persoon te beschermen. Als een werknemer bijvoorbeeld in acuut gevaar verkeert, kan de werkgever aan de openbare macht GPS-gegevens uit de zorg van het bedrijf verstrekken, zodat deze hem kan vinden en zo snel mogelijk actie kan ondernemen.

Vitaal belang betekent in deze context dat er sprake is van een levensbedreigende situatie. Dit is een vrij uitzonderlijke grond en niet iets wat je zou gebruiken voor de dagelijkse gegevensverwerking.

Openbaar belang of uitoefening van het openbaar gezag

Dit is een lange: op grond van artikel 6, lid 1, onder e), kunnen gegevens worden verwerkt wanneer dat "noodzakelijk is * voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de verantwoordelijke voor de verwerking is opgedragen".* Een openbare school kan bijvoorbeeld leerlingencijfers verwerken op basis van haar publieke taak om het onderwijs te bevorderen. De belastingdienst kan uw persoonsgegevens verwerken bij het uitvoeren van een controle omdat zij dat op grond van de wet mag doen.

Deze grond wordt doorgaans gebruikt door overheidsinstanties en openbare lichamen, omdat hij flexibeler is dan een wettelijke verplichting. Zij kan ook door particuliere entiteiten worden gebruikt, maar alleen in specifieke scenario's - bijvoorbeeld wanneer een particuliere onderneming een openbare dienst verleent in het kader van een aanbestedingscontract.

Ten slotte is het eerder genoemde recht van verzet ook van toepassing op de verwerking van gegevens op basis van het openbaar belang/de overheid11.

Slotopmerkingen

Correct omgaan met persoonsgegevens is belangrijk. Toch zijn richtlijnen en wetten niet altijd eenvoudig te begrijpen GDPR. We hebben geprobeerd een uitgebreid overzicht te maken om wat meer duidelijkheid te geven over de verschillende rechtsgrondslagen voor gegevensverzameling. De GDPR heeft de grenzen bepaald voor wat mogelijk is en wat niet. Als bedrijf moet u zich aan deze wetten houden om de privacy van uw klanten te beschermen. Een duidelijk begrip van deze rechtsgrondslagen vermindert de risico's van uw bedrijf op rechtszaken en datalekken.

Zelfs als de GDPR niet zou bestaan en er geen wetten op het gebied van gegevensbescherming zouden worden overtreden, zijn organisaties moreel verplicht om op verantwoorde wijze om te gaan met de gegevens van hun websitebezoekers. Tenminste, dit is wat wij geloven bij Simple Analytics.

Daarom hebben we een privacy-first Google Analytics alternatief gemaakt dat geen cookies gebruikt of persoonlijke gegevens verzamelt en toch bruikbare inzichten verkrijgt van uw website bezoekers.

Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers en tegelijkertijd de inzichten verschaft die u nodig heeft om uw bedrijf te runnen. Als dit resoneert met u, voel je vrij om ons te proberen.

#1 Dit is het rechtmatigheidsbeginsel vastgelegd in Art. 5(1)(a) GDPR [^2]: Art. 4(11) GDPR. [^3]: Publieke entiteiten genieten meestal een zekere mate van machtsongelijkheid met de betrokkene, waardoor toestemming niet altijd vrijelijk wordt gegeven zoals vereist door art. 4, LID 11, GDPR. Art. 6 bepaalt ook dat overheidsinstanties (wat specifieker is dan overheidsinstanties) zich niet kunnen beroepen op het gerechtvaardigd belang wanneer zij zich in plaats daarvan zouden kunnen beroepen op het openbaar belang/gezag [^4]: Dit is de door het HvJEU ontwikkelde driedelige test (HvJEU - C-13/16 - Rīgas satiksme) [^5]: Zie art. 5, lid 2 (verantwoordingsplicht) alsmede 24 GPDR (verantwoordelijkheid van de verantwoordelijke voor de verwerking). [^6]: Als u meer wilt weten over legitiem belang, biedt de Britse ICO op haar website zeer toegankelijke informatie [^7]: Art. 6(1) GDPR. [^8]: 21 GDPR. Hetzelfde geldt voor verwerking op basis van 6(1)(e). [^9]: 21(3) GDPR. [^10]: Kuner e.a., Commentary On The EU General Data Protection Regulation (GDPR). A Commentary, 2020, p. 333. [^11]: 21 GDPR.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode