Video

GDPR 101: Wat zijn de rechtsgronden van de GDPR?

Rechtsgronden
GDPR 101: Wat zijn de rechtsgronden van de GDPR?

De GDPR? Die gaat ondertussen al even mee. En toch, ervaring leert ons dat bepaalde basisconcepten uit de wetgeving soms moeilijk te vatten, en daardoor ook moeilijk te implementeren zijn. Daarom slaan CRANIUM en Dasprive de handen in elkaar om duidelijkheid te scheppen met een nieuwe reeks: GDPR 101. Geen juridisch jargon, maar wel begrijpelijke taal. Deze week hebben we het over:

De Rechtsgronden van de GDPR

Als een organisatie, bedrijf of de overheid jouw gegevens wil gebruiken, moeten ze een goede reden hebben. Dit heet een “rechtsgrond”. Er zijn 6 rechtsgronden die gebruikt mogen worden onder bepaalde voorwaarden:

  1. Toestemming
  2. Contractuele noodzaak
  3. Wettelijke plicht
  4. Vitaal belang
  5. Algemeen belang
  6. Gerechtvaardigd belang

1. Toestemming 

De toestemming is de meest voorkomende reden om gegevens te verwerken, vooral online.  

Als je toestemming geeft, mag iemand jouw gegevens gebruiken. Maar die toestemming moet aan een paar voorwaarden voldoen: 

  • Vrij: Je mag niet gedwongen worden om toestemming te geven. Bijvoorbeeld, als je baas om toestemming vraagt, is dat soms lastig, want ben je dan echt vrij om nee te zeggen? 
  • Specifiek: De toestemming moet gegeven worden voor een duidelijk omschreven doel. Je moet precies weten voor welke specifieke verwerking van gegevens je toestemming geeft. 
  • Geïnformeerd: Je moet weten wat er met je gegevens gebeurt, hoe lang ze worden bewaard, en waarom ze worden gebruikt. 
  • Ondubbelzinnig: Er mag geen enkele twijfel zijn over het feit dat je toestemming hebt gegeven. De toestemming moet op een duidelijke en actieve manier worden verkregen. 

2. Contractuele noodzaak  

Stel je voor: je bestelt iets online bij bol.com. Dan vragen ze niet specifiek om toestemming om je gegevens te verwerken. Dat hoeft ook niet, want je hebt een contract: jij koopt iets en zij moeten het leveren. Voor dat doel mogen ze je gegevens gebruiken. 

Maar stel dat bol.com je hobby’s wil weten om je gepersonaliseerde aanbiedingen te sturen, dan kunnen ze niet beweren dat dit “noodzakelijk is voor de uitvoering van het contract”, omdat die informatie niet nodig is om je bestelling te leveren. Als bol.com jouw hobby’s wil gebruiken voor andere doeleinden, hebben ze daar een aparte rechtsgrond voor nodig. 

3. Wettelijke plicht  

Soms verplicht de wet organisaties om bepaalde gegevens te verwerken. Bijvoorbeeld als ze aangifte moeten doen bij de overheid. In dergelijke gevallen is toestemming niet vereist, aangezien de organisatie een wettelijke verplichting naleeft. 

4. Vitale belangen  

Deze rechtsgrond wordt doorgaans in medische noodgevallen toegepast, waarbij iemands leven op het spel staat. Bijvoorbeeld, wanneer je buiten bewustzijn bent en je dus geen toestemming kunt geven, kunnen de hulpdiensten toch je gegevens verwerken om je de correcte zorg toe te dienen. Dit heet vitaal belang.

Het vitaal belang mag enkel toegepast worden wanneer geen énkel andere rechtsgrond van toepassing kan zijn.

5. Algemeen belang 

Overheden of organisaties met een wettelijke taak mogen persoonsgegevens verwerken om die taak uit te voeren. Ze doen dit voor het algemeen belang, zoals bij het uitvoeren van publieke diensten. 

6. Gerechtvaardigd belang  

Het gerechtvaardigd belang geldt als geen van de andere vijf redenen van toepassing is, maar het toch logisch is dat een organisatie bepaalde gegevens moet verwerken. Bijvoorbeeld, een bedrijf wil zijn netwerk beveiligen en gebruikt daarvoor een spamfilter. Hiervoor hoeft geen toestemming gevraagd te worden, want het is duidelijk waarom dit gebeurt.

Als een organisatie een gerechtvaardigd belang aanvoert, moet ze wel een afweging maken: Dit heet de ‘belangenafweging’ en is een essentieel onderdeel van de proportionaliteitstoets waarbij wordt beoordeeld of het belang van de organisatie opweegt tegen jouw recht op privacy.” 

Waarom zijn er 6 rechtsgronden in de GDPR?

De zes rechtsgronden van de GDPR vormen het fundament voor elke gegevensverwerking binnen je organisatie. Ze zijn er niet zomaar – ze bieden een helder juridisch kader waarbinnen je kan opereren en geven duidelijke richtlijnen voor de verwerking van persoonsgegevens. Het is geen kwestie van willekeur: elke verwerking van persoonsgegevens moet op minstens één van deze rechtsgronden steunen.

Als organisatie is het cruciaal om voor elke gegevensverwerking de juiste rechtsgrond te identificeren en te documenteren in een register van verwerkingsactiviteiten. Dit zorgt niet alleen voor correcte naleving, maar ook voor transparantie naar uw stakeholders en een stevige basis voor uw dataverwerkingsactiviteiten.

Conclusie

Grip krijgen op de rechtsgronden is een essentiële stap in uw GDPR-compliance traject. Ze vormen de basis voor een rechtmatige gegevensverwerking en helpen je organisatie om weloverwogen beslissingen te nemen over dataverwerking. Door de juiste rechtsgrond voor iedere verwerking te kiezen en te documenteren, leef je niet enkel de regeltjes van de GDPR na, maar win ook je ook het vertrouwen van klanten, partners en medewerkers.

Deel op:

Geschreven door

Geen auteur gevonden.

Hi! Hoe kunnen we helpen?

Heb je interne privacyhulp nodig of een externe DPO? Neem contact met ons op en we zoeken samen met jou naar de beste oplossing.