Privacywet: Mag u persoonsgegevens verwerken?

Met komst van de Algemene Verordening Gegevensbescherming hierna (AVG) mogen bedrijven en organisaties niet zomaar persoonsgegevens verwerken.  Voor het verwerken van persoonsgegevens is er in de AVG een zestal grondslagen opgenomen waaraan elke verwerken van persoonsgegevens aan dient te voldoen.  Voordat een bedrijf persoonsgegevens wil gaan verwerken moet er eerst gekeken worden naar welke type persoonsgegevens verwerkt wordt. Hierdoor is het dan inzichtelijk welke regels er gelden voor het verwerken van persoonsgegevens.

In de AVG is er een onderscheid gemaakt tussen drie categorieën persoonsgegevens:

  1. Algemene persoonsgegevens;
  2. Bijzondere persoonsgegevens;
  3. Strafrechtelijke persoonsgegevens.

Algemene persoonsgegevens

De algemene persoonsgegevens worden gekwalificeerd als NAW-gegevens. Als een bedrijf NAW-gegevens van haar klanten of werknemers wilt gaan verwerken dan moet een bedrijf zich kunnen baseren op een van zes wettelijke grondslagen uit de AVG. Deze wettelijke grondslagen zijn heilig, dat betekent dat elke verwerking van persoonsgegevens aan minimaal één van de wettelijke grondslagen moet voldoen.

Wettelijke grondslagen

  1. Toestemming van de betrokken persoon. Met toestemming wordt bedoeld dat de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt. De toestemming moet in duidelijke, begrijpelijke en in eenvoudige taal worden gepresenteerd aan de betrokkene.[1] Deze wilsuiting moet actief worden gedaan door de betrokkene. Dit kan door middel van het aanvinken van een vakje op een webpagina. De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
  2. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Persoonsgegevens mogen worden verwerkt als dit noodzakelijk is voor de uitvoering van een overeenkomst. Als een organisatie met betrokkene een overeenkomst heeft gesloten, dan mag de organisatie van de betrokkene persoonsgegevens verwerken voor zover dit noodzakelijk is om de overeenkomst uit te kunnen voeren. Dit moet dan wel een overeenkomst zijn waarbij de betrokkene zelf ook partij is. De overeenkomst hoeft overigens niet gericht te zijn op het verwerken van persoonsgegevens, maar de verwerking moet wel een noodzakelijk uitvloeisel van de overeenkomst zijn. Bijvoorbeeld wanneer een betrokkene bij een bank om een offerte vraagt voor een hypotheek. Voor het berekenen van het maximale leenbedrag zal de bank bepaalde persoonsgegevens nodig hebben, voordat er daadwerkelijk sprake is van een overeenkomst.
  3. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. Daarnaast mogen organisaties persoonsgegevens verwerken als dit noodzakelijk is om te voldoen aan een wettelijke plicht. Om persoonsgegevens te verwerken op grond van deze grondslag, moet het niet mogelijk zijn om aan de plicht te voldoen zonder dat er persoonsgegevens worden verwerkt.Een voorbeeld van een verwerking van persoonsgegevens die op deze grondslag gebaseerd kan worden, is de wettelijke plicht van werkgevers om een kopie van het identiteitsbewijs van werknemers op te nemen in de loonstrook in navolging van de Wet op de loonbelasting.[2]
  4. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. Van een vitaal belang is sprake als het belang voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is, bijvoorbeeld indien acuut gevaar voor iemands leven of gezondheid dreigt.[1] De verordening geeft als voorbeeld de situatie waarin ‘’de verwerking noodzakelijk is voor humanitaire doeleinden, onder  meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen’’.[2] Verwerking van persoonsgegevens op grond van het vitale belang voor betrokkene is alleen mogelijk als de betrokkene niet in staat is toestemming te geven. Dit kan zich zowel in fysiek (bijvoorbeeld wegens bewusteloosheid) als in juridische (bijvoorbeeld handelingsonbekwaamheid) zin voordoen.[3
  5. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. Van algemeen kan alleen sprake zijn als een organisatie of een bedrijf een publieke taak uitoefent voor het algemeen belang of openbaar gezag. Hierbij gaat het om taken die in de wet zijn vastgesteld en die relevant kunnen zijn voor een organisatie. Het moet voor de betrokkene duidelijk zijn dat zijn persoonsgegevens verwerkt wordt voor de uitoefening van die specifieke wettelijke taak. Tevens moet de verwerking van de persoonsgegevens noodzakelijk zijn voor de organisatie om de publieke taak goed te kunnen vervullen. Dit kan alleen wanneer je een publieke taak uitoefent voor het algemeen belang of het openbaar gezag. Bijvoorbeeld: een gemeente mag camera’s plaatsen voor de openbare veiligheid.
  6. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. Wanneer een organisatie zich wil baseren op deze grondslag dan moet er aan drie voorwaarden zijn voldaan: – De organisatie moet een gerechtvaardigd belang hebben;
    De verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen;
    De organisatie heeft een afweging gemaakt tussen organisatie belangen en die van de betrokkene van wie persoonsgegevens verwerkt wordt.

De verantwoordelijkheid om te beoordelen of een bedrijf zich kan baseren op een van de wettelijke grondslagen voor het verwerken van persoonsgegevens ligt bij de bedrijf zelf.

Bijzondere persoonsgegevens

Het verwerken van bijzondere persoonsgegevens is verboden, tenzij een bedrijf zich kunt beroepen op een wettelijke uitzondering en op een van de wettelijke grondslagen voor het verwerken van ‘gewone persoonsgegevens’. Tot de categorieën bijzondere persoonsgegevens worden gerekend:

  • Persoonsgegevens waaruit ras of etnische afkomst;
  • Persoonsgegevens waaruit politieke opvattingen blijken;
  • Persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
  • Persoonsgegevens waaruit het lidmaatschaap van een vakbond blijkt;
  • Genetische gegevens;
  • Biometrische gegevens met het op de unieke identificatie van een persoon;
  • Medische gegevens;
  • Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

Strafrechtelijke persoonsgegevens 

Het verwerken van strafrechtelijke persoonsgegevens is verboden, tenzij een organisatie zich kan beroepen op een wettelijke uitzondering en op een van de wettelijke grondslagen voor het verwerken van ‘gewone persoonsgegevens’.

De wettelijke uitzonderingen voor het verwerken van strafrechtelijke persoonsgegevens zijn:

  • De verwerking moet onder toezicht van de overheid staan óf; 
  • De verwerking is toegestaan bij nationaal recht. Het gaat dan om Unierechtelijke of lidstaatrechtelijke bepalingen, die passende waarborgen bieden voor de rechten en vrijheden van de betrokken personen.

Voor een bedrijf is het dus belangrijk om eerst inzicht te krijgen welke type persoonsgegevens verwerkt wordt en welke eisen daarvoor gelden. Als een bedrijf zich niet kan baseren op een van de zes wettelijke grondslagen dan is het niet toegestaan om de persoonsgegevens te verwerken.

Heeft u vragen met betrekking tot het verwerken persoonsgegevens of over de privacywetgeving neem dan gerust contact op met een van onze juristen.


[1] Engelfriet, e.a. 2018 p. 43

[2] Rijksoverheid, handleiding AVG, p. 39

[3] Overweging 46 van de verordening 

[4] Kamerstuk Memorie van toelichting 13/12/2017, P. 91

[5] Kamerstuk Memorie van toelichting 13/12/2017, P. 91