Privacy is belangrijker dan ooit te voren en het lijkt af en toe alsof je nu totaal niets meer mag met persoonsgegevens als ondernemer. In dit stuk ga ik niet in op het filosofische debat tussen privacy en veiligheid, maar gewoon het antwoord op de vraag die voor jou als ondernemer van belang is. Mag ik persoonsgegevens verwerken? … Tromgeroffel! …
Het antwoord is ja, mits … (blijf toch die vervelende jurist hé) je een wettelijke grondslag hebt om deze te verwerken. Artikel 6 van de AVG geeft 6 gronden die je kan hanteren als je persoonsgegevens verwerkt. Welke rechtsgrond(en) kan je gebruiken? Ik heb ze hier alle 6 opgesomd en leg ze vervolgens haarfijn voor jou uit.
- toestemming
- vitale belangen
- wettelijke verplichting
- overeenkomst
- algemeen belang
- gerechtvaardigd belang
1. Toestemming
De tijd van ingevulde vakjes op een nieuwsbrief en och dat wist die wel zijn voorbij. Althans dat is de bedoeling. De eisen van de AVG zijn vrij streng op het begrip toestemming. Zorg er daarom voor dat je je klanten goed informeert. Bijvoorbeeld met een heldere privacy policy op je website. Geef aan welke persoonsgegevens jij verwerkt en met welk doel. Wil je de gegevens voor meerdere doeleinde gebruiken moet je dit van te voren kenbaar maken. Zelf heb ik een situatie meegemaakt waarin persoonsgegevens werden verwerkt voor het verlenen van een dienst. De toestemming voldeed volledig aan de AVG eisen, maar vervolgens werden deze zelfde persoonsgegevens doorgezet naar een derde partij voor een klanttevredenheidsonderzoek. In de basis niets verkeerd zou je zeggen. Je bent namelijk bezig met je dienstverlening te verbeteren voor de klant. Dit onderzoek was echter niet van te voren kenbaar gemaakt aan de klant waardoor dit in strijd was met de AVG. Zelfs met alle goede bedoelingen dien je van te voren de klant goed te informeren.
Houdt er ook rekening mee dat een klant altijd zijn toestemming kan intrekken. Je hebt dan een andere grondslag nodig. Gelukkig zijn er nog een paar die je kunnen uit helpen hieronder. Zie toestemming dus meer als een vangnet en niet als de enige basis voor het verwerken van persoonsgegevens. Op deze manier kan je altijd nog terugvallen op een andere. Let op onderstaande rechtsgronden kan alleen als verwerken echt noodzakelijk is! Is de noodzaak niet al te hoog dan kan je het beste voor de toestemming gaan.
2. Uitvoering van de overeenkomst
Het gaat dan uiteraard om een overeenkomst waarbij de betrokkene (de persoon waarvan de persoonsgegevens zijn) partij is. Belangrijk is dat de overeenkomst niet uitgevoerd kan worden zonder die persoonsgegevens. Denk bijvoorbeeld aan een webwinkel die een naam en adres nodig heeft om producten te kunnen leveren of het afsluiten van een arbeidsovereenkomst met je nieuwe werknemer.
Vat het woord noodzakelijk niet te licht op. Wanneer persoonsgegevens handig zijn dan is dat niet voldoende. Werk jij met inschrijfformulieren of standaard contracten die al jaren niet zijn gewijzigd? Misschien is het dan niet zo gek om deze juridisch te laten nakijken.
Stel je zelf bijvoorbeeld de vraag: heb ik echt de geboortedatum of pasfoto van deze persoon nodig? Als je niet gelijk volmondig ja schreeuwt dan kun je het misschien beter weglaten.
3. Wettelijke verplichting
Je mag geen persoonsgegevens onnodig lang bewaren. Er zijn echter wettelijke regels die af en toe haaks tegenover de AVG lijken te staan. Zo zijn er wettelijke verplichtingen op basis waarvan je persoonsgegevens wel moet verwerken. Zo heb je een bewaarplicht van 7 jaar voor je facturen. Nou denk je misschien op mijn factuur staan alleen maar de bedrijfsgegevens. Als je echter te maken hebt met een eenmanszaak is de kans toch groot dat je hier persoonsgegevens verwerkt. Je moet dan toch die factuur, juist inclusief die persoonsgegevens, bewaren. Daarnaast moet je ook je loonadministratie 7 jaar bewaren waar zeer veel, en soms zelfs gevoelige, persoonsgegevens in terug komen. Altijd goed dus om even na te kijken welke wet er nou voor gaat.
4. Vitale belangen
Vitaal gaat in dit geval echt om het leven van een persoon. Hier gaat het niet zozeer om een medisch dossier, maar je moet denken aan een situatie waarin iemand een ongeval heeft gehad en acuut behandelt moet worden waar persoonsgegevens voor nodig zijn. Toestemming verkrijgen is dan niet meer mogelijk. Deze grondslag zul je hopelijk niet snel gebruiken.
5. Algemeen belang
Dit gaat met name over overheidsinstanties of verwerkingen namens de overheid. Die voeren namelijk een publieke taak uit voor het algemeen belang en openbaar gezag. Hier zul je als ondernemer niet snel mee te maken krijgen.
6. Gerechtvaardigd belang
De verwerking van persoonsgegevens is noodzakelijk voor jouw bedrijfsvoering waardoor je een gerechtvaardigd belang hebt. Hier is wederom het magische woordje noodzakelijk. Je moet kunnen aantonen dat je belang rechtmatig is, duidelijk verwoord en uiteraard aanwezig. Denk aan het voeren van een personeelsadministratie of wanneer je een webshop hebt die pakketjes bezorgt. Hier zijn nou eenmaal persoonsgegevens voor nodig.
Dit hele verhaal gaat niet op als jouw belang niet opweegt tegenover de privacybelangen van de betrokkene. Heb je heldere verwachten gecreëerd bij de betrokkene? Stel iemand geeft zijn telefoonnummer bij het indienen van een klacht. Is het dan logisch dat je het telefoonnummer gebruikt om een aanbieding te doen? Lijkt mij niet verstandig. Onthoud daarom dat een betrokkene altijd bezwaar kan maken.
Deze grondslag blijft altijd een belangenafweging. Zo worden bijvoorbeeld de belangen van kinderen tot 16 jaar zwaarder gewogen dan die van volwassen. Uiteindelijk moet je per geval goed bedenken of je echt een gerechtvaardigd belang hebt.
Conclusie
Zorg dat je helder hebt welke grondslag jij gebruikt en zorg ervoor dat je altijd het doel helder voor ogen hebt van de verwerking. Nederland verwacht meer van ondernemers, ook de kleinere, zoals uit recente uitspraken van de Autoriteit Persoonsgegevens blijkt, maar laat de AVG jouw ondernemerschap niet in de weg staan. Ik zal in de toekomst jou vaker proberen te helpen met dit soort kwesties.
Mocht je na het lezen van dit artikel met een specifieke vraag zitten? Stel ze mij gerust en ik help je graag verder!