- Griet Verfaillie
- privacy , persoonsgegevens , rechtvaardigingsgrond , data protection , toestemming , gerechtvaardigd belang , verwerking van persoonsgegevens , AVG , Algemene Verordening Gegevensverwerking , GDPR
Analyse
Volgens de Belgische Privacywet ter bescherming van persoonsgegevens (van 8 december 1992) heeft u
om persoonsgegevens te verwerken altijd een zogenaamde rechtvaardigingsgrond nodig. In de wet staat
een lijstje van gronden.
De vaakst gebruikte rechtvaardigingsgrond voor de verwerking van persoonsgegevens is vandaag de
"toestemming" van de betrokken persoon.
Uit een studie van het CIPL (Centre for Information Policy Leadership) blijkt dat tot 90% van alle
bedrijven zich steunen op de "toestemming" als basis voor de meerderheid van hun
verwerkingen.
Er zijn evenwel enkele zaken waarmee rekening moet worden gehouden als men gebruik maak van de
rechtvaardigingsgrond "toestemming" en die door de bedrijven vaak over het hoofd worden
gezien. Bovendien zal de nieuwe Algemene Verordening Gegevensbescherming die vanaf mei 2018 van
kracht zal worden een geldig gebruik van de rechtvaardigingsgrond "toestemming" nog
verder bemoeilijken.
Hieronder geven we u enkele aandachtspunten:
1. Aandachtspunten met betrekking tot rechtvaardigingsgrond "toestemming" :
1.1 Ook als er toestemming is moet de verwerking eerlijk en rechtmatig gebeuren
Ook al heeft de betrokkene toegestemd, dan nog moeten de gegevens die verwerkt worden enkel de
gegevens betreffen die met de opgegeven doeleinden stroken en deze doeleinden moeten expliciet
aangegeven zijn en geoorloofd.
Je moet als verwerker naar de betrokkene toe dus uiterst transparant en eerlijk zijn omtrent je
voorgenomen verwerking.
Als je op toestemming steunt, dien je als bedrijf voor elke nieuwe vorm van verwerking opnieuw de
toestemming van de betrokkene te bekomen tenzij de latere verwerking van de gegevens compatibel is
met de oorspronkelijke doelstelling. Je moet dan ook als bedrijf kunnen aantonen dat je die
toestemming hebt bekomen.
Dit wordt door bedrijven vaak over het hoofd gezien. Zij denken dat eenmaal de toestemming is
bekomen, de gegevens verder verwerkt kunnen worden voor andere doeleinden waarvoor eigenlijk geen
toestemming is bekomen.
Nochtans moet er in principe voor elke andere verwerkingsactiviteit die niet compatibel is met de
oorspronkelijk omschreven doelen opnieuw toestemming worden bekomen en moet het bedrijf als
verwerker/controller kunnen laten zien dat ze toestemming heeft bekomen.
1.2 Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn
De rechtvaardigingsgrond "toestemming" wordt onder de Algemene Verordening
Gegevensbescherming aangescherpt, daar de Verordening bepaalt dat het moet gaan om een vrije,
specifieke, geïnformeerde en ondubbelzinnige toestemming voor een of meer specifieke doeleinden
(dat sluit bv. stilzwijgen, een reeds aangekruist vakje of inactiviteit uit als geldige bewijzen
van 
toestemming). Het
moet om een echte keuze gaan. De betrokkene moet met andere woorden zijn toestemming kunnen
weigeren of intrekken zonder nadelige gevolgen. Zo mag bijvoorbeeld het uitvoeren van een
overeenkomst of het verlenen van een dienst niet afhankelijk gemaakt worden van de
toestemming. Dat maakt dat voor werknemers de rechtmatigheidsgrond "toestemming"
betwistbaar is. Immers, werknemers zullen makkelijker toestemming geven aan hun werkgevers voor de
verwerking van persoonsgegevens gelet op de bestaande gezagsrelatie tussen de werknemer en de
werkgever en dus uit schrik voor negatieve gevolgen. Hierdoor zal de toestemming van de werkgever
niet als een "vrije" toestemming worden beschouwd.
1.3 Wat indien de betrokkene zijn toestemming intrekt?
Als je op toestemming steunt, kan je eveneens worden geconfronteerd met een betrokkene die zijn toestemming terug intrekt. Vervolgens moet de verwerking van deze gegevens worden gestopt, wat zeer moeilijk kan zijn als de verwerkingsprocessen in gang zijn gezet.
2. Gerechtvaardigd belang als rechtvaardigingsgrond
Mede gelet op de strengere vereisten rond "toestemming" in de Algemene Verordening
Gegevensverwerking, maar ook omdat bedrijven vaak gewoon een gerechtvaardigd belang hebben om te
verwerken, zal deze rechtmatigheidsgrond aan belang winnen.
De verwerking is gerechtvaardigd als deze noodzakelijk is voor de behartiging van de
gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.
Uiteraard zijn gerechtvaardigd belang van de verwerker of de toestemming van de betrokkene niet de
enige rechtvaardigheidsgronden voor verwerking onder de Algemene Verordening
Gegevensbescherming.
De overige vier gronden zijn rechtmatigheidsgronden voor een verwerking omwille van een welbepaalde
redenen en er dient gebruik gemaakt te worden van die gronden als die aan de orde zijn.
Het betreft meer bepaald de :
- verwerking in het kader van de uitvoering van een overeenkomst,
- verwerking in het vitaal belang van de betrokkene,
- verwerking omwille van een wettelijke verplichting en
- verwerking omwille van de vervulling van een taak van algemeen belang
3. Besluit
Toestemming is uiteraard nog altijd noodzakelijk om de gegevens van betrokkenen te mogen
verwerken voor direct marketing doeleinden, alsook wanneer je als bedrijf bepaalde verwerkingen
doet die buiten het redelijke verwachtingspatroon zouden kunnen vallen van de betrokkene.
Voor de gewone verwerking van persoonsgegevens heeft men bij het gebruik van de toestemming te
kampen met meerdere problemen waardoor het aan belang zal verliezen en men eerder beroep zal doen
op het gerechtvaardigd belang als rechtvaardigheidsgrond.
