Grondslag

Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Dat betekent dat zij een goede reden moeten hebben om persoonsgegevens te verwerken. De Algemene verordening gegevensbescherming (AVG) stelt zes grondslagen voor het verwerken van persoonsgegevens. Met name de eerste grondslag toestemming dient aan strenge voorwaarden te voldoen. Op deze pagina vindt u meer informatie over de zes grondslagen en de voorwaarden voor de grondslag toestemming.

Welke grondslagen staan er in de AVG?

De AVG kent de volgende grondslagen voor een rechtmatige verwerking van persoonsgegevens (artikel 6):

  1. Er is toestemming van de persoon om wie het gaat (de betrokkene);
  2. De verwerking is noodzakelijk om een overeenkomst uit te voeren, waarbij de betrokkene partij is;
  3. De verwerking is noodzakelijk omdat dit wettelijk verplicht is;
  4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of andere natuurlijke personen te beschermen;
  5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
  6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

Grondslag: toestemming

Een verwerking van persoonsgegevens kan rechtmatig zijn wanneer er toestemming is gegeven door de betrokkene. Dat is degene wiens persoonsgegevens verwerkt worden. De toestemming moet aan een aantal voorwaarden voldoen (artikel 7 AVG). De AVG verbindt strenge voorwaarden aan het gebruik van de grondslag toestemming. Als decentrale overheid moet u goed kunnen onderbouwen waarom er voor een bepaalde grondslag is gekozen. Tevens is opgenomen bij de grondslag gerechtvaardigde belangen dat overheidsinstanties zich hier niet op mogen beroepen in het kader van de uitoefening van hun taken. Het is namelijk aan de wetgever om de rechtsgrond te bepalen voor de verwerking van persoonsgegevens door overheidsinstanties.

De toestemming van de betrokkene dient vrijelijk te worden gegeven door middel van een duidelijke actieve handeling. Dit kan bijvoorbeeld met een schriftelijke verklaring, elektronische middelen of een mondelinge verklaring. Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt (overweging 32 Preambule AVG).

Doelverbinding

Het verzoek om toestemming moet in een eenvoudige en begrijpbare taal worden aangeboden. Daaruit moet duidelijk blijken waar de toestemming precies voor wordt gegeven. Welke persoonsgegevens worden verzameld? En voor welke doelen worden deze verwerkt?

Wanneer er meerdere doelen zijn voor de verwerking van de persoonsgegevens moet voor elk van deze verwerkingsdoelen specifiek toestemming gegeven worden.

Geen sprake van vrijelijke toestemming

In overweging 43 AVG staat dat er geen sprake kan zijn van vrijelijk gegeven toestemming wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie. Aangegeven wordt dat hier met name sprake van kan zijn indien de verwerkingsverantwoordelijke een overheidsinstantie is. Door afhankelijkheid als gevolg van de relatie tussen een overheidsinstantie en betrokkene, is het onwaarschijnlijk dat de betrokkene zijn toestemming voor gegevensverwerking zou kunnen onthouden zonder angst of reële dreiging van nadelige gevolgen bij een weigering. Hierdoor is er geen sprake van vrijelijk toestemming.

Indien decentrale overheden zich op de grondslag toestemming willen beroepen, dienen zij zich bewust te zijn van hun hoedanigheid als overheid of als bedrijfsorganisatie. Bij verwerking en in het sociaal domein is de wanverhouding bijvoorbeeld duidelijker aanwezig dan bij het vragen van toestemming voor het verzenden van een nieuwsbrief.

Voorbeeld van vrijelijke toestemming

Bij het geven van vrijelijke toestemming kunt u bijvoorbeeld denken aan het aanklikken van een vakje bij een bezoek aan een internetwebsite of het selecteren van technische instellingen voor diensten. Uit de handeling moet duidelijk blijken dat de betrokkene instemt met de voorgestelde verwerking van persoonsgegevens. De vakjes moeten bijvoorbeeld actief worden aangevinkt. Een vooraf aangevinkt vakje, die iemand zelf uit moet zetten als zij daar geen toestemming voor willen geven, is niet toegestaan.

Bewijs van toestemming

De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens (artikel 7 AVG).

Daarnaast is het belangrijk om te weten dat de betrokkene de toestemming ieder moment mag intrekken. Dit moet even makkelijk zijn als het geven van de toestemming.