Home >  Nieuws & Inzichten >  Welke rechtvaardigingsgrond gebruiken voor de verwerking van persoonsgegevens?

Welke rechtvaardigingsgrond gebruiken voor de verwerking van persoonsgegevens?

Analyse Volgens de Belgische Privacywet ter bescherming van persoonsgegevens (van 8 december 1992) heeft u om persoonsgegevens te verwerken altijd een zogenaamde rechtvaardigingsgrond nodig. In de wet staat een lijstje van gronden.

De vaakst gebruikte rechtvaardigingsgrond voor de verwerking van persoonsgegevens is vandaag de "toestemming" van de betrokken persoon.

Uit een studie van het CIPL (Centre for Information Policy Leadership) blijkt dat tot 90% van alle bedrijven zich steunen op de "toestemming" als basis voor de meerderheid van hun verwerkingen.

Er zijn evenwel enkele zaken waarmee rekening moet worden gehouden als men gebruik maak van de rechtvaardigingsgrond "toestemming" en die door de bedrijven vaak over het hoofd worden gezien. Bovendien zal de nieuwe Algemene Verordening Gegevensbescherming die vanaf mei 2018 van kracht zal worden een geldig gebruik van de rechtvaardigingsgrond "toestemming" nog verder bemoeilijken.

Hieronder geven we u enkele aandachtspunten:

1. Aandachtspunten met betrekking tot rechtvaardigingsgrond "toestemming" :

1.1 Ook als er toestemming is moet de verwerking eerlijk en rechtmatig gebeuren

Ook al heeft de betrokkene toegestemd, dan nog moeten de gegevens die verwerkt worden enkel de gegevens betreffen die met de opgegeven doeleinden stroken en deze doeleinden moeten expliciet aangegeven zijn en geoorloofd.
Je moet als verwerker naar de betrokkene toe dus uiterst transparant en eerlijk zijn omtrent je voorgenomen verwerking.
Als je op toestemming steunt, dien je als bedrijf voor elke nieuwe vorm van verwerking opnieuw de toestemming van de betrokkene te bekomen tenzij de latere verwerking van de gegevens compatibel is met de oorspronkelijke doelstelling. Je moet dan ook als bedrijf kunnen aantonen dat je die toestemming hebt bekomen.
Dit wordt door bedrijven vaak over het hoofd gezien. Zij denken dat eenmaal de toestemming is bekomen, de gegevens verder verwerkt kunnen worden voor andere doeleinden waarvoor eigenlijk geen toestemming is bekomen.
Nochtans moet er in principe voor elke andere verwerkingsactiviteit die niet compatibel is met de oorspronkelijk omschreven doelen opnieuw toestemming worden bekomen en moet het bedrijf als verwerker/controller kunnen laten zien dat ze toestemming heeft bekomen. 

1.2 Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn

De rechtvaardigingsgrond "toestemming" wordt onder de Algemene Verordening Gegevensbescherming aangescherpt, daar de Verordening bepaalt dat het moet gaan om een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming voor een of meer specifieke doeleinden (dat sluit bv. stilzwijgen, een reeds aangekruist vakje of inactiviteit uit als geldige bewijzen van toestemming).  Het moet om een echte keuze gaan. De betrokkene moet met andere woorden zijn toestemming kunnen weigeren of intrekken zonder nadelige gevolgen. Zo mag bijvoorbeeld het uitvoeren van een overeenkomst of het verlenen van een dienst niet afhankelijk gemaakt worden van de toestemming.   Dat maakt dat voor werknemers de rechtmatigheidsgrond "toestemming" betwistbaar is. Immers, werknemers zullen makkelijker toestemming geven aan hun werkgevers voor de verwerking van persoonsgegevens gelet op de bestaande gezagsrelatie tussen de werknemer en de werkgever en dus uit schrik voor negatieve gevolgen. Hierdoor zal de toestemming van de werkgever niet als een "vrije" toestemming worden beschouwd.

1.3 Wat indien de betrokkene zijn toestemming intrekt?

Als je op toestemming steunt, kan je eveneens worden geconfronteerd met een betrokkene die zijn toestemming terug intrekt. Vervolgens moet de verwerking van deze gegevens worden gestopt, wat zeer moeilijk kan zijn als de verwerkingsprocessen in gang zijn gezet.

2. Gerechtvaardigd belang als rechtvaardigingsgrond

Mede gelet op de strengere vereisten rond "toestemming" in de Algemene Verordening Gegevensverwerking, maar ook omdat bedrijven vaak gewoon een gerechtvaardigd belang hebben om te verwerken, zal deze rechtmatigheidsgrond aan belang winnen.  

De verwerking is gerechtvaardigd als deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde. 

Uiteraard zijn gerechtvaardigd belang van de verwerker of de toestemming van de betrokkene niet de enige rechtvaardigheidsgronden voor verwerking onder de Algemene Verordening Gegevensbescherming.   

De overige vier gronden zijn rechtmatigheidsgronden voor een verwerking omwille van een welbepaalde redenen en er dient gebruik gemaakt te worden van die gronden als die aan de orde zijn. 

Het betreft meer bepaald de :

  • verwerking in het kader van de uitvoering van een overeenkomst, 
  • verwerking in het vitaal belang van de betrokkene, 
  • verwerking omwille van een wettelijke verplichting en 
  • verwerking omwille van de vervulling van een taak van algemeen belang

3. Besluit

Toestemming is uiteraard nog altijd noodzakelijk om de gegevens van betrokkenen te mogen verwerken voor direct marketing doeleinden, alsook wanneer je als bedrijf bepaalde verwerkingen doet die buiten het redelijke verwachtingspatroon zouden kunnen vallen van de betrokkene.

Voor de gewone verwerking van persoonsgegevens heeft men bij het gebruik van de toestemming te kampen met meerdere problemen waardoor het aan belang zal verliezen en men eerder beroep zal doen op het gerechtvaardigd belang als rechtvaardigheidsgrond.

 

Brussel - Headquarter
Bastion Tower
Marsveldplein 5 B 5
1050 Brussel Gent
Quantum Building
Oktrooiplein 1 - 6de verdieping
9000 Gent
Antwerpen
Silversquare
Frankrijklei 5 bus 0401
2000 Antwerpen
Ons Team Expertise News Events InSeeds Business Packs E-books MVO Jobs Over ons Contact