Is jouw gegevensverwerking rechtmatig?

| Erna Havinga | ,

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar de vraag of een gegevensverwerking rechtmatig is, is niet altijd in één zin te beantwoorden. Dat hangt namelijk af van een aantal factoren. Welke factoren dit zijn, licht ik in deze blog toe aan de hand van een aantal vragen.

Om te bepalen of je gegevensverwerking rechtmatig is kun je de volgende punten doorlopen:

Deze blog is ook in audiovisuele vorm te bekijken.
Ga naar de audio versie van deze blog

Heb je één of meer duidelijk bepaalde en gerechtvaardigde doeleinden voor het verzamelen van persoonsgegevens?

De verwerking van (persoons)gegevens mag alleen plaatsvinden voor een bepaald doel. Een doeleinde is een resultaat waar je als organisatie naar streeft. Welke doelen dit zijn wordt niet in de Algemene Verordening Gegevensbescherming (AVG) genoemd, alleen dat de doelen gerechtvaardigd moeten zijn. Zo kun je bijvoorbeeld als gemeente op basis van het gerechtvaardigd belang persoonsgegevens verwerken wanneer burgers iets willen regelen of aanvragen via de gemeentelijke website. Je hebt dan contactgegevens, zoals een telefoonnummer en e-mailadres nodig, om hen goed te kunnen helpen. Soms kan een doel ook samenvallen met een grondslag (zie toelichting punt 4). Zo ben je als gemeente verantwoordelijk voor het verzamelen van gegevens voor de Basisregistratie Personen (BRP). Dit is een wettelijke taak om uit te voeren en daarom mag je dus deze persoonsgegevens verzamelen en beheren. Gegevens verzamelen omdat deze ‘in de toekomst nog weleens van pas kunnen komen’ mag dus niet.  

Heb je dat doel of die doeleinden uitdrukkelijk omschreven?

Deze doelen moet je ook duidelijk omschrijven en kenbaar maken aan de personen van wie de persoonsgegevens worden verzameld. Een goede plaats hiervoor is bijvoorbeeld het register van verwerkingen en de privacyverklaring.

Verwerk je bijzondere categorieën van persoonsgegevens?

Valt je verwerking van bijzondere categorieën van persoonsgegevens onder één van de algemene of specifieke uitzonderingen op het verbod op de verwerking van dergelijke gegevens in de AVG of de Uitvoeringswet?

De AVG onderscheidt naast gewone persoonsgegevens ook bijzondere persoonsgegevens. Deze zijn gevoeliger voor de betrokkene. Bijvoorbeeld gegevens die iets zeggen over iemands ras, godsdienst of gezondheid. Ook een lidmaatschap van een vakbond is een bijzonder persoonsgegeven. De verwerking van bijzondere persoonsgegevens is verboden. Tenzij je je kunt beroepen op een wettelijke uitzondering én een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Je hebt de volgende uitzonderingen:

  • Iemand heeft uitdrukkelijk toestemming gegeven voor de verwerking van zijn/haar persoonsgegevens.
  • De verwerking is noodzakelijk om de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon te beschermen. Let op, dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn/haar toestemming te geven.
  • Je verwerkt de gegevens als stichting, vereniging of andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. Het gaat om gegevens van (oud)leden of personen met wie je regelmatig contact hebt gerelateerd aan de doelstelling. 
  • Je verwerkt persoonsgegevens die de betrokkene zelf doelbewust openbaar heeft gemaakt.
  • De verwerking is noodzakelijk om een rechtsvordering in te stellen, uit te oefenen of te onderbouwen. Óf je handelt als gerecht vanuit je rechtsbevoegdheid.


Er zijn ook nog een paar uitzonderingen die alleen gelden als het in de wet staat:

  • De verwerking is noodzakelijk om verplichtingen uit te voeren of specifieke rechten uit te oefenen van jou of de betrokken persoon. Dit op het gebied van het arbeidsrecht, het socialezekerheidsrecht en het socialebeschermingsrecht.
  • De verwerking is noodzakelijk voor een zwaarwegend algemeen belang.
  • De verwerking is noodzakelijk voor doeleinden van preventieve of (arbeids)geneeskundige aard. Bijvoorbeeld het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg.
  • De verwerking is noodzakelijk voor de volksgezondheid.
  • De verwerking is noodzakelijk voor archivering in het algemeen belang, wetenschappelijk/historisch onderzoek of statistische doeleinden.

Kun je de verwerking (inclusief het verzamelen) baseren op ten minste één van de grondslagen die de AVG noemt?

De AVG kent zes grondslagen. Om persoonsgegevens te mogen verwerken, moet je gebruik kunnen maken van één van deze grondslagen. Kan dat niet, dan mag je de persoonsgegevens niet verwerken. De zes grondslagen die gelden voor het verwerken van persoonsgegevens zijn:

  • Toestemming – zoals het woord als zegt gaat het hier om toestemming van de betrokkene voor het verwerken van zijn/haar gegevens. Deze toestemming moet uitdrukkelijk gegeven zijn. Hierbij geldt ook dat het voor mensen net zo makkelijk moet zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
  • Uitvoering van een overeenkomst – als organisatie kun je je op deze grondslag baseren wanneer je een overeenkomst hebt met iemand en om de overeenkomst na te komen is het verwerken van persoonsgegevens noodzakelijk. Bijvoorbeeld als je afspraken met externe leveranciers maakt voor het leveren van producten en/of diensten.
  • Wettelijke verplichting – soms bestaat er een wettelijke verplichting op basis waarvan je persoonsgegevens moet verwerken. Denk bijvoorbeeld aan facturen die 7 jaar bewaard moeten worden. Ook loonadministratie moet 7 jaar bewaard worden. Daaronder vallen ook de arbeidsovereenkomsten, ziektestaten en een kopie identiteitsbewijs van werknemers.
  • Vitale belangen – om de vitale belangen van een persoon te kunnen beschermen, mogen persoonsgegevens verwerkt worden. Bijvoorbeeld wanneer iemand niet aanspreekbaar (bewusteloos) of mentaal niet in staat is om toestemming te geven.
  • Algemeen belang – deze grondslag geldt voor het uitoefenen van een publieke taak voor het algemeen belang of openbaar gezag. Het gaat hierbij om wettelijke taken. De verwerking van persoonsgegevens moet noodzakelijk zijn om de publieke taak goed te kunnen vervullen. Bijvoorbeeld als je als gemeente cameratoezicht inzet op openbare plaatsen voor de openbare veiligheid.
  • De laatste grondslag is gerechtvaardigd belang – er is sprake van gerechtvaardigd belang wanneer een verwerking aantoonbaar noodzakelijk is om bedrijfsactiviteiten te kunnen verrichten. Bijvoorbeeld het voeren van een personeelsadministratie. 

Zijn de gegevens toereikend, ter zake dienend, en beperkt tot wat noodzakelijk is om je doel(einden) te bereiken?

Dit vereist onder andere dat je ervoor zorgt dat de bewaarperiode van de persoonsgegevens tot het minimale wordt beperkt en dat je niet meer gegevens gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken. Dit wordt ook wel dataminimalisatie genoemd.

Geef je gegevens door naar een ander land buiten de Europese Unie?

Waarborgt dat land een passend beschermingsniveau?

Maak je gebruik van passende waarborgen of kun jij je beroepen op een van de uitzonderingen op het verbond van gegevensdoorgifte?

Je mag als organisatie alleen persoonsgegevens doorgeven naar een ander land, als dat land een passend beschermingsniveau hanteert. Heeft het land geen passend beschermingsniveau? Dan is doorgifte alleen toegestaan op grond van één van de wettelijke bepalingen uit de AVG.

Alles afgevinkt?

Dan resteert alleen nog de vraag of je voldaan hebt aan alle overige op jouw organisatie rustende verplichtingen van de AVG? Denk aan het bijhouden van een register van verwerkingen, het aanstellen van een Functionaris Gegevensbescherming (FG), het toepassen van Privacy by Design, het afsluiten van verwerkersovereenkomsten met verwerkers, et cetera. Heb je hier allemaal aan voldaan? Dan is de gegevensverwerking rechtmatig.

Tot slot nog een weetje, want wist je dat de AVG niet over alle gegevensverwerkingen gaat? Zo heb je binnen de gemeente ook specifieke wetgevingen – zoals de Wet Politiegegevens (WPG) – die ook de wijze waarop gegevens worden gebruikt en vastgelegd beschrijven. Ook binnen deze wetgeving wordt er specifiek vermeld wanneer een verwerking rechtmatig is of niet.

Meer informatie?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Is jouw gegevensverwerking rechtmatig?

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking recht…

Het NIST CyberSecurity Framework als kans?

Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?