Skip to main content

Wat is een gerechtvaardigd belang?

| Erna Havinga | ,

Wanneer je als organisatie persoonsgegevens verwerkt, moet je volgens de AVG eerst vaststellen of de verwerking rechtmatig is. Je hebt daarom als organisatie altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Hoewel ‘toestemming van de betrokkene’ een bekende grondslag is, kan voor bepaalde organisaties een ‘gerechtvaardigd belang’ ook een belangrijke basis voor verwerking zijn. Maar wat houdt een ‘gerechtvaardigd belang’ eigenlijk in?

Zes grondslagen

De Algemene Verordening Gegevensbescherming (AVG) hanteert zes grondslagen. Om persoonsgegevens te mogen verwerken, moet je één van deze zes grondslagen kunnen toepassen, zoals beschreven in artikel 6 lid 1 van de AVG. Als dit niet mogelijk is, mag je de persoonsgegevens niet verwerken. De zes geldige grondslagen voor het verwerken van persoonsgegevens zijn: toestemming, uitvoering van een overeenkomst, wettelijke verplichting, bescherming van vitale belangen, algemeen belang en gerechtvaardigd belang. Als je als verwerkingsverantwoordelijke minstens één van deze grondslagen kunt gebruiken, is de verwerking rechtmatig en dus wettelijk toegestaan (op voorwaarde dat het gaat om ‘gewone’ persoonsgegevens en niet om bijzondere of strafrechtelijke persoonsgegevens, waarvoor strengere regels gelden).

Wat houdt ‘gerechtvaardigd belang’ in?

De laatste grondslag, ‘gerechtvaardigd belang’, is van toepassing wanneer de verwerking aantoonbaar noodzakelijk is voor reguliere bedrijfsactiviteiten, zoals bijvoorbeeld het beheren van een personeelsadministratie. Er moet ook zorgvuldig worden afgewogen wat de ‘redelijke verwachtingen’ zijn van de betrokkene (een betrokkene is diegene waar de persoonsinformatie van wordt verwerkt) in die relatie en of zijn recht op privacy niet zwaarder weegt dan het belang van de organisatie, zoals het privacyrecht van werknemers. Van een gerechtvaardigd belang kan sprake zijn wanneer er een ‘relevante en passende verhouding’ bestaat tussen een organisatie en de persoon wiens gegevens door die organisatie worden verwerkt, zoals de relatie tussen een organisatie en haar werknemers. Enkele voorbeelden van belangen die kwalificeren als gerechtvaardigd zijn:

  • Beschermen van de privésfeer.
  • Onderzoek en beëindiging van grensoverschrijdend gedrag in werkrelaties.
  • Bestrijding van fraude, oplichting of ander onrechtmatig gedrag.
  • Het aansprakelijk stellen van iemand voor schade.

Als het belang als gerechtvaardigd wordt erkend, moet de organisatie nog steeds aantonen dat de verwerking noodzakelijk is en een afweging maken tussen hun belang en de rechten van de persoon wiens gegevens worden verwerkt. Als de belangen van de persoon zwaarder wegen, mag de verwerking niet plaatsvinden. Maar let op: overheidsorganen, zoals gemeenten, mogen deze grondslag niet gebruiken voor de uitvoering van hun publieke taak. Maar wat betekent dat nu eigenlijk?

Het gerechtvaardigd belang bij overheidsorganisaties

In de meeste gevallen hebben overheidsinstanties geen toestemming om de grondslag ‘gerechtvaardigd belang’ van de AVG te gebruiken wanneer ze persoonsgegevens verwerken tijdens de uitvoering van hun wettelijke taken. Dit komt doordat overheidsinstanties meestal gebonden zijn aan specifieke wettelijke taken en verplichtingen die al een basis bieden voor de verwerking van persoonsgegevens. Voor deze taken en verplichtingen zijn doorgaans al expliciete wettelijke grondslagen vastgesteld.

De reden waarom overheidsinstanties geen gebruik kunnen maken van de grondslag ‘gerechtvaardigd belang’ is omdat hun primaire verantwoordelijkheid is om te handelen in het algemeen belang, en niet uit eigen belang, zoals vaak het geval is bij particuliere organisaties. In plaats daarvan hebben overheden de mogelijkheid om persoonsgegevens te verwerken op basis van:

  1. Toestemming van de betrokkene (hoewel dit in de publieke sector vaak problematisch kan zijn gezien de machtsongelijkheid tussen de overheid en de burger).
  2. Noodzaak voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is.
  3. Bescherming van vitale belangen.

Dit helpt ervoor te zorgen dat overheidsinstanties persoonsgegevens alleen verwerken wanneer dit strikt noodzakelijk is en in lijn is met hun wettelijke verplichtingen om het algemeen belang te dienen.

Uitzonderingen

In uitzonderlijke situaties waar de verwerking van persoonsgegevens niet direct verband houdt met specifieke wettelijke taken of buiten de sfeer van openbaar gezag valt, zouden overheidsinstanties theoretisch gezien een beroep kunnen doen op de grondslag ‘gerechtvaardigd belang’. Dit kan bijvoorbeeld gebeuren wanneer de overheidsinstantie een activiteit uitvoert die in wezen niet verschilt van die van een particuliere organisatie.

Het is echter belangrijk om op te merken dat deze uitzonderingen strikt zijn en alleen van toepassing zouden zijn onder zeer specifieke en goed onderbouwde omstandigheden. Over het algemeen geldt de regel dat overheidsinstanties voor de meeste verwerkingen van persoonsgegevens andere wettelijke grondslagen moeten gebruiken dan het ‘gerechtvaardigd belang’.

Taken Functionaris Gegevensbescherming (FG) en Privacy Officer

De Functionaris voor Gegevensbescherming (FG) en Privacy Officer hebben belangrijke taken om ervoor te zorgen dat de grondslag ‘gerechtvaardigd belang’ op een passende en wettige manier wordt toegepast binnen de gemeente. Zo heeft de FG o.a. de volgende taken:

  • Beleid opstellen voor het gebruik van ‘gerechtvaardigd belang’ binnen de gemeente.
  • Controleren of de AVG wordt nageleefd en of verwerkingsverantwoordelijken de juiste beoordelingen maken bij het gebruik van deze grondslag.
  • Trainingen geven aan medewerkers om hen bewust te maken van wat gerechtvaardigde belangen zijn en hoe deze moeten worden afgewogen tegen de rechten van betrokkenen.
  • Advies geven in situaties waar gerechtvaardigde belangen een rol spelen en beoordelen of de gegevensverwerking noodzakelijk is.
  • Belangenafwegingen en risicobeoordelingen uitvoeren of toezicht houden op deze beoordelingen (Data Protection Impact Assessment – DPIA) bij verwerking van persoonsgegevens op basis van gerechtvaardigd belang.
  • Zorgen voor de juiste documentatie van alle overwegingen en beslissingen met betrekking tot gerechtvaardigde belangen.

Voor de praktische uitvoering van het beleid dat is ontwikkeld door de FG met betrekking tot de grondslag ‘gerechtvaardigd belang’ en het toepassen van het evaluatiekader in specifieke situaties, hebben Privacy Officers o.a. de volgende taken:

  • Implementeren van het beleid van de FG met betrekking tot ‘gerechtvaardigd belang’ in de praktijk.
  • Toepassen van het evaluatiekader in specifieke situaties om te beoordelen of gegevensverwerking op basis van ‘gerechtvaardigd belang’ mogelijk is.
  • Maken van concrete afwegingen tussen de belangen van de organisatie en die van de betrokkenen, inclusief het beoordelen van proportionaliteit en subsidiariteit. Ofwel, staat het belang in verhouding tot de inbreuk en is dit de beste manier om het doel te bereiken? Of zijn er nog andere manieren?
  • Opzetten van processen om ervoor te zorgen dat gegevensverwerkingen blijven voldoen aan de eisen van ‘gerechtvaardigd belang’ in de loop der tijd.
  • Behandelen van bezwaren van betrokkenen met betrekking tot de verwerking van hun gegevens op basis van ‘gerechtvaardigd belang’.

Deze stappen zorgen ervoor dat het beleid wordt geïmplementeerd en dat de grondslag ‘gerechtvaardigd belang’ op een juiste manier wordt toegepast binnen de gemeente.

Meer informatie of hulp nodig?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…
Verder lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen