Skip to main content

Wat is een gerechtvaardigd belang?

| Erna Havinga | ,

Wanneer je als organisatie persoonsgegevens verwerkt, moet je volgens de AVG eerst vaststellen of de verwerking rechtmatig is. Je hebt daarom als organisatie altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Hoewel ‘toestemming van de betrokkene’ een bekende grondslag is, kan voor bepaalde organisaties een ‘gerechtvaardigd belang’ ook een belangrijke basis voor verwerking zijn. Maar wat houdt een ‘gerechtvaardigd belang’ eigenlijk in?

Zes grondslagen

De Algemene Verordening Gegevensbescherming (AVG) hanteert zes grondslagen. Om persoonsgegevens te mogen verwerken, moet je één van deze zes grondslagen kunnen toepassen, zoals beschreven in artikel 6 lid 1 van de AVG. Als dit niet mogelijk is, mag je de persoonsgegevens niet verwerken. De zes geldige grondslagen voor het verwerken van persoonsgegevens zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, bescherming van vitale belangen, algemeen belang en gerechtvaardigd belang. Als je als verwerkingsverantwoordelijke minstens één van deze grondslagen kunt gebruiken, is de verwerking rechtmatig en dus wettelijk toegestaan (op voorwaarde dat het gaat om ‘gewone’ persoonsgegevens en niet om bijzondere of strafrechtelijke persoonsgegevens, waarvoor strengere regels gelden).

Wat houdt ‘gerechtvaardigd belang’ in?

De laatste grondslag, ‘gerechtvaardigd belang’, is van toepassing wanneer de verwerking aantoonbaar noodzakelijk is voor reguliere bedrijfsactiviteiten, zoals bijvoorbeeld het beheren van een personeelsadministratie. Er moet ook zorgvuldig worden afgewogen wat de ‘redelijke verwachtingen’ zijn van de betrokkene (een betrokkene is diegene waar de persoonsinformatie van wordt verwerkt) in die relatie en of zijn recht op privacy niet zwaarder weegt dan het belang van de organisatie, zoals het privacyrecht van werknemers. Van een gerechtvaardigd belang kan sprake zijn wanneer er een ‘relevante en passende verhouding’ bestaat tussen een organisatie en de persoon wiens gegevens door die organisatie worden verwerkt, zoals de relatie tussen een organisatie en haar werknemers. Enkele voorbeelden van belangen die kwalificeren als gerechtvaardigd zijn:

  • Beschermen van de privésfeer.
  • Onderzoek en beëindiging van grensoverschrijdend gedrag in werkrelaties.
  • Bestrijding van fraude, oplichting of ander onrechtmatig gedrag.
  • Het aansprakelijk stellen van iemand voor schade.

Als het belang als gerechtvaardigd wordt erkend, moet de organisatie nog steeds aantonen dat de verwerking noodzakelijk is en een afweging maken tussen hun belang en de rechten van de persoon wiens gegevens worden verwerkt. Als de belangen van de persoon zwaarder wegen, mag de verwerking niet plaatsvinden. Maar let op: overheidsorganen, zoals gemeenten, mogen deze grondslag niet gebruiken voor de uitvoering van hun publieke taak. Maar wat betekent dat nu eigenlijk?

Het gerechtvaardigd belang bij overheidsorganisaties

In de meeste gevallen hebben overheidsinstanties geen toestemming om de grondslag ‘gerechtvaardigd belang’ van de AVG te gebruiken wanneer ze persoonsgegevens verwerken tijdens de uitvoering van hun wettelijke taken. Dit komt doordat overheidsinstanties meestal gebonden zijn aan specifieke wettelijke taken en verplichtingen die al een basis bieden voor de verwerking van persoonsgegevens. Voor deze taken en verplichtingen zijn doorgaans al expliciete wettelijke grondslagen vastgesteld.

De reden waarom overheidsinstanties geen gebruik kunnen maken van de grondslag ‘gerechtvaardigd belang’ is omdat hun primaire verantwoordelijkheid is om te handelen in het algemeen belang, en niet uit eigen belang, zoals vaak het geval is bij particuliere organisaties. In plaats daarvan hebben overheden de mogelijkheid om persoonsgegevens te verwerken op basis van:

  1. Toestemming van de betrokkene (hoewel dit in de publieke sector vaak problematisch kan zijn gezien de machtsongelijkheid tussen de overheid en de burger).
  2. Noodzaak voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is.
  3. Bescherming van vitale belangen.

Dit helpt ervoor te zorgen dat overheidsinstanties persoonsgegevens alleen verwerken wanneer dit strikt noodzakelijk is en in lijn is met hun wettelijke verplichtingen om het algemeen belang te dienen.

Uitzonderingen

In uitzonderlijke situaties waar de verwerking van persoonsgegevens niet direct verband houdt met specifieke wettelijke taken of buiten de sfeer van openbaar gezag valt, zouden overheidsinstanties theoretisch gezien een beroep kunnen doen op de grondslag ‘gerechtvaardigd belang’. Dit kan bijvoorbeeld gebeuren wanneer de overheidsinstantie een activiteit uitvoert die in wezen niet verschilt van die van een particuliere organisatie.

Het is echter belangrijk om op te merken dat deze uitzonderingen strikt zijn en alleen van toepassing zouden zijn onder zeer specifieke en goed onderbouwde omstandigheden. Over het algemeen geldt de regel dat overheidsinstanties voor de meeste verwerkingen van persoonsgegevens andere wettelijke grondslagen moeten gebruiken dan het ‘gerechtvaardigd belang’.

Taken Functionaris Gegevensbescherming (FG) en Privacy Officer

De Functionaris voor Gegevensbescherming (FG) en Privacy Officer hebben belangrijke taken om ervoor te zorgen dat de grondslag ‘gerechtvaardigd belang’ op een passende en wettige manier wordt toegepast binnen de gemeente. Zo heeft de FG o.a. de volgende taken:

  • Beleid opstellen voor het gebruik van ‘gerechtvaardigd belang’ binnen de gemeente.
  • Controleren of de AVG wordt nageleefd en of verwerkingsverantwoordelijken de juiste beoordelingen maken bij het gebruik van deze grondslag.
  • Trainingen geven aan medewerkers om hen bewust te maken van wat gerechtvaardigde belangen zijn en hoe deze moeten worden afgewogen tegen de rechten van betrokkenen.
  • Advies geven in situaties waar gerechtvaardigde belangen een rol spelen en beoordelen of de gegevensverwerking noodzakelijk is.
  • Belangenafwegingen en risicobeoordelingen uitvoeren of toezicht houden op deze beoordelingen (Data Protection Impact Assessment – DPIA) bij verwerking van persoonsgegevens op basis van gerechtvaardigd belang.
  • Zorgen voor de juiste documentatie van alle overwegingen en beslissingen met betrekking tot gerechtvaardigde belangen.

Voor de praktische uitvoering van het beleid dat is ontwikkeld door de FG met betrekking tot de grondslag ‘gerechtvaardigd belang’ en het toepassen van het evaluatiekader in specifieke situaties, hebben Privacy Officers o.a. de volgende taken:

  • Implementeren van het beleid van de FG met betrekking tot ‘gerechtvaardigd belang’ in de praktijk.
  • Toepassen van het evaluatiekader in specifieke situaties om te beoordelen of gegevensverwerking op basis van ‘gerechtvaardigd belang’ mogelijk is.
  • Maken van concrete afwegingen tussen de belangen van de organisatie en die van de betrokkenen, inclusief het beoordelen van proportionaliteit en subsidiariteit. Ofwel, staat het belang in verhouding tot de inbreuk en is dit de beste manier om het doel te bereiken? Of zijn er nog andere manieren?
  • Opzetten van processen om ervoor te zorgen dat gegevensverwerkingen blijven voldoen aan de eisen van ‘gerechtvaardigd belang’ in de loop der tijd.
  • Behandelen van bezwaren van betrokkenen met betrekking tot de verwerking van hun gegevens op basis van ‘gerechtvaardigd belang’.

Deze stappen zorgen ervoor dat het beleid wordt geïmplementeerd en dat de grondslag ‘gerechtvaardigd belang’ op een juiste manier wordt toegepast binnen de gemeente.

Meer informatie of hulp nodig?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.