Wanneer je als organisatie persoonsgegevens verwerkt, moet je volgens de AVG eerst vaststellen of de verwerking rechtmatig is. Je hebt daarom als organisatie altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Hoewel ‘toestemming van de betrokkene’ een bekende grondslag is, kan voor bepaalde organisaties een ‘gerechtvaardigd belang’ ook een belangrijke basis voor verwerking zijn. Maar wat houdt een ‘gerechtvaardigd belang’ eigenlijk in?
Zes grondslagen
De Algemene Verordening Gegevensbescherming (AVG) hanteert zes grondslagen. Om persoonsgegevens te mogen verwerken, moet je één van deze zes grondslagen kunnen toepassen, zoals beschreven in artikel 6 lid 1 van de AVG. Als dit niet mogelijk is, mag je de persoonsgegevens niet verwerken. De zes geldige grondslagen voor het verwerken van persoonsgegevens zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, bescherming van vitale belangen, algemeen belang en gerechtvaardigd belang. Als je als verwerkingsverantwoordelijke minstens één van deze grondslagen kunt gebruiken, is de verwerking rechtmatig en dus wettelijk toegestaan (op voorwaarde dat het gaat om ‘gewone’ persoonsgegevens en niet om bijzondere of strafrechtelijke persoonsgegevens, waarvoor strengere regels gelden).
Wat houdt ‘gerechtvaardigd belang’ in?
De laatste grondslag, ‘gerechtvaardigd belang’, is van toepassing wanneer de verwerking aantoonbaar noodzakelijk is voor reguliere bedrijfsactiviteiten, zoals bijvoorbeeld het beheren van een personeelsadministratie. Er moet ook zorgvuldig worden afgewogen wat de ‘redelijke verwachtingen’ zijn van de betrokkene (een betrokkene is diegene waar de persoonsinformatie van wordt verwerkt) in die relatie en of zijn recht op privacy niet zwaarder weegt dan het belang van de organisatie, zoals het privacyrecht van werknemers. Van een gerechtvaardigd belang kan sprake zijn wanneer er een ‘relevante en passende verhouding’ bestaat tussen een organisatie en de persoon wiens gegevens door die organisatie worden verwerkt, zoals de relatie tussen een organisatie en haar werknemers. Enkele voorbeelden van belangen die kwalificeren als gerechtvaardigd zijn:
- Beschermen van de privésfeer.
- Onderzoek en beëindiging van grensoverschrijdend gedrag in werkrelaties.
- Bestrijding van fraude, oplichting of ander onrechtmatig gedrag.
- Het aansprakelijk stellen van iemand voor schade.
Als het belang als gerechtvaardigd wordt erkend, moet de organisatie nog steeds aantonen dat de verwerking noodzakelijk is en een afweging maken tussen hun belang en de rechten van de persoon wiens gegevens worden verwerkt. Als de belangen van de persoon zwaarder wegen, mag de verwerking niet plaatsvinden. Maar let op: overheidsorganen, zoals gemeenten, mogen deze grondslag niet gebruiken voor de uitvoering van hun publieke taak. Maar wat betekent dat nu eigenlijk?
Het gerechtvaardigd belang bij overheidsorganisaties
In de meeste gevallen hebben overheidsinstanties geen toestemming om de grondslag ‘gerechtvaardigd belang’ van de AVG te gebruiken wanneer ze persoonsgegevens verwerken tijdens de uitvoering van hun wettelijke taken. Dit komt doordat overheidsinstanties meestal gebonden zijn aan specifieke wettelijke taken en verplichtingen die al een basis bieden voor de verwerking van persoonsgegevens. Voor deze taken en verplichtingen zijn doorgaans al expliciete wettelijke grondslagen vastgesteld.
De reden waarom overheidsinstanties geen gebruik kunnen maken van de grondslag ‘gerechtvaardigd belang’ is omdat hun primaire verantwoordelijkheid is om te handelen in het algemeen belang, en niet uit eigen belang, zoals vaak het geval is bij particuliere organisaties. In plaats daarvan hebben overheden de mogelijkheid om persoonsgegevens te verwerken op basis van:
- Toestemming van de betrokkene (hoewel dit in de publieke sector vaak problematisch kan zijn gezien de machtsongelijkheid tussen de overheid en de burger).
- Noodzaak voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is.
- Bescherming van vitale belangen.
Dit helpt ervoor te zorgen dat overheidsinstanties persoonsgegevens alleen verwerken wanneer dit strikt noodzakelijk is en in lijn is met hun wettelijke verplichtingen om het algemeen belang te dienen.
Uitzonderingen
In uitzonderlijke situaties waar de verwerking van persoonsgegevens niet direct verband houdt met specifieke wettelijke taken of buiten de sfeer van openbaar gezag valt, zouden overheidsinstanties theoretisch gezien een beroep kunnen doen op de grondslag ‘gerechtvaardigd belang’. Dit kan bijvoorbeeld gebeuren wanneer de overheidsinstantie een activiteit uitvoert die in wezen niet verschilt van die van een particuliere organisatie.
Het is echter belangrijk om op te merken dat deze uitzonderingen strikt zijn en alleen van toepassing zouden zijn onder zeer specifieke en goed onderbouwde omstandigheden. Over het algemeen geldt de regel dat overheidsinstanties voor de meeste verwerkingen van persoonsgegevens andere wettelijke grondslagen moeten gebruiken dan het ‘gerechtvaardigd belang’.
Taken Functionaris Gegevensbescherming (FG) en Privacy Officer
De Functionaris voor Gegevensbescherming (FG) en Privacy Officer hebben belangrijke taken om ervoor te zorgen dat de grondslag ‘gerechtvaardigd belang’ op een passende en wettige manier wordt toegepast binnen de gemeente. Zo heeft de FG o.a. de volgende taken:
- Beleid opstellen voor het gebruik van ‘gerechtvaardigd belang’ binnen de gemeente.
- Controleren of de AVG wordt nageleefd en of verwerkingsverantwoordelijken de juiste beoordelingen maken bij het gebruik van deze grondslag.
- Trainingen geven aan medewerkers om hen bewust te maken van wat gerechtvaardigde belangen zijn en hoe deze moeten worden afgewogen tegen de rechten van betrokkenen.
- Advies geven in situaties waar gerechtvaardigde belangen een rol spelen en beoordelen of de gegevensverwerking noodzakelijk is.
- Belangenafwegingen en risicobeoordelingen uitvoeren of toezicht houden op deze beoordelingen (Data Protection Impact Assessment – DPIA) bij verwerking van persoonsgegevens op basis van gerechtvaardigd belang.
- Zorgen voor de juiste documentatie van alle overwegingen en beslissingen met betrekking tot gerechtvaardigde belangen.
Voor de praktische uitvoering van het beleid dat is ontwikkeld door de FG met betrekking tot de grondslag ‘gerechtvaardigd belang’ en het toepassen van het evaluatiekader in specifieke situaties, hebben Privacy Officers o.a. de volgende taken:
- Implementeren van het beleid van de FG met betrekking tot ‘gerechtvaardigd belang’ in de praktijk.
- Toepassen van het evaluatiekader in specifieke situaties om te beoordelen of gegevensverwerking op basis van ‘gerechtvaardigd belang’ mogelijk is.
- Maken van concrete afwegingen tussen de belangen van de organisatie en die van de betrokkenen, inclusief het beoordelen van proportionaliteit en subsidiariteit. Ofwel, staat het belang in verhouding tot de inbreuk en is dit de beste manier om het doel te bereiken? Of zijn er nog andere manieren?
- Opzetten van processen om ervoor te zorgen dat gegevensverwerkingen blijven voldoen aan de eisen van ‘gerechtvaardigd belang’ in de loop der tijd.
- Behandelen van bezwaren van betrokkenen met betrekking tot de verwerking van hun gegevens op basis van ‘gerechtvaardigd belang’.
Deze stappen zorgen ervoor dat het beleid wordt geïmplementeerd en dat de grondslag ‘gerechtvaardigd belang’ op een juiste manier wordt toegepast binnen de gemeente.
Meer informatie of hulp nodig?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
- Waarom is het lastig om structureel DPIA’s uit te voeren? - 8 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!