Hoofdregel bij de nieuwe Europese privacywet – de Algemene Verordening Gegevensbescherming of AVG – is dat iedere verwerking een grondslag moet hebben. Toestemming is de meest voorkomende, maar wie een overeenkomst (contract) met een ander sluit, of daarmee bezig is, mag zonder nadere toestemming meer dan hij vaak denkt.
De AVG bepaalt dat geen aparte toestemming nodig is voor handelingen met persoonsgegevens die redelijkerwijs nodig zijn voor het sluiten of nakomen van een overeenkomst. Dat is ook logisch, als je iets afspreekt dan zou het raar zijn dat je apart alsnog moet vragen of je de afspraak mag nakomen. Dit laat ook meteen de grens zien van deze grondslag: de verbinding met de overeenkomst moet er wel zijn.
De term ‘overeenkomst’ moet u breed opvatten. Het gaat niet alleen om formele schriftelijke contracten met handtekening, maar iedere afspraak valt er onder. Dus ook toezeggingen via Twitter of e-mail en bestellingen bij een webwinkel of een dienst die u via een app afneemt.
De discussie zal dus eerder gaan over de vraag of wat u wilt doen, wel valt onder een noodzaak. Iets dat alleen maar leuk is of toevallig ook naar een klant (contractuele wederpartij) kan, is dus niet onder deze grondslag te rechtvaardigen. Klanten een statusbericht sturen over onderhoud in het weekend is dus prima onder deze grondslag, een tevredenheidsenquête sturen is op het randje, en ze op uw algemene nieuwsbrief abonneren gaat er echt overheen. Dat vereist dus toestemming.
Sommige ondernemers denken het op te lossen door in de voorwaarden te vermelden dat ze bepaalde dingen gaan doen, en zeggen dan dat het noodzakelijk is omdat het immers afgesproken is. Maar zo werkt het niet. De toets voor ‘noodzakelijkheid’ is een objectieve redelijkheidstoets, het moet zogezegd wel ergens op slaan. Die voorwaarde moet wel relevant zijn. Dus in de algemene voorwaarden (of zelfs de offerte) zetten “Klant zal de nieuwsbrief ontvangen” zal niet genoeg zijn om hieraan te voldoen.
Specifiek voor omgang met gegevens van personeel is deze grond van groot belang. U kunt dan immers een beroep doen op nakoming van de arbeidsovereenkomst. Of het afsluiten daarvan, als we het hebben over sollicitanten. Met deze grondslag kunt u bijvoorbeeld gegevens van personeel delen met collega’s of zelfs klanten (die moeten immers weten wie het werk komt doen).
Als u zich op deze grond beroept, dan moet u motiveren welke overeenkomst het betreft en waar de noodzaak vandaan komt. U doet dit in het verwerkingsregister, waarover in deel 8 van de serie meer.
Compliant zijn met de AVG is vooral een kwestie van documenteren. De makkelijkste manier hiervoor is de overzichtelijke tooling van Privacyblox.nl. Het systeem maakt processen van gegevensverwerking transparant. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!
Bent u alleen op zoek naar losse privacydocumenten? Bekijk dan de Privacybundel op JuriDox!