Als u als verwerkingsverantwoordelijke een register van verwerkingen opzet, dan moet u ook voor elke verwerking de rechtsgrond opgeven. Elke verwerking heeft immers een reden nodig; de AVG beschermt de betrokkene tegen willekeur inzake het gebruik van zijn persoonsgegevens. Onthoud ook dat we steeds finaliteit, proportionaliteit en transparantie als grondbeginselen van persoonsgegevensbescherming in het achterhoofd moeten houden.
Op welke gronden mag een verwerking plaatsvinden?
Een verwerking van persoonsgegevens moet altijd op een van de volgende rechtsgronden plaatsvinden:
- uitvoering van een overeenkomst;
- wettelijke verplichting;
- vitale belangen;
- algemeen belang;
- gerechtvaardigde belangen;
- toestemming.
Hieronder wordt elke rechtsgrond toegelicht:
Uitvoering van een overeenkomst: de verwerking is noodzakelijk in het kader van een overeenkomst waarin de betrokkene partij is. Opt-out is hier niet mogelijk.
Wettelijke verplichting: de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die bij de verantwoordelijke rust. Opt-out is niet mogelijk.
Vitale belangen: de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Dit komt altijd neer op het redden van een leven van een persoon of het behandelen van een gewonde (bv. na een ongeval of aanval). Deze rechtsgrond kan alleen in die situatie worden ingeroepen en kan dus niet gemakkelijk toegepast worden. Opt-out is niet mogelijk.
Algemeen belang: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die in het kader van de uitoefening van het openbaar gezag aan de verwerkingsverantwoordelijke is opgedragen. De betrokkene kan bezwaar maken tegen dit type verwerking op grond van artikel 21 van de AVG (‘recht van bezwaar’).
Gerechtvaardigde belangen: deze rechtsgrond komt neer op een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde, tenzij de privacybelangen van de betrokkene zwaarder doorwegen. Ook de grondrechten en fundamentele vrijheden van het individu moeten in rekening worden genomen. Hierbij moet bijvoorbeeld rekening gehouden worden met de vraag in hoeverre de betrokkene had mogen verwachten dat de verwerking plaats zou vinden en met welk doel.
Toestemming: heeft de betrokkene toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meerdere doeleinden? Belangrijk hier is dat de betrokkene zijn toestemming ook moet kunnen intrekken (een opt-out). Het intrekken van de toestemming moet even gemakkelijk zijn als het geven van de toestemming. Toestemming moet een actieve, vrijwillige, geïnformeerde en eenduidige handeling zijn waarmee de betrokkene zijn goedkeuren verleent voor het gebruik van zijn persoonsgegevens (zie hieronder voor meer info).
Die uitleg lijkt mij nogal vaag. Zijn er concrete voorbeelden van deze rechtsgronden voor lokale besturen?
Uiteraard. Hier volgen enkele realistische, niet-exhaustieve voorbeelden uit het werkveld.
Uitvoering van een overeenkomst
- verwerking van persoonsgegevens m.b.t. contractuele aanstelling van een personeelslid van de gemeente;
- huurovereenkomst tussen gemeente en huurder van een stuk grond, een appartement of een pand;
- aanvraag stedenbouwkundige vergunning.
Wettelijke verplichting
- loonaangifte bij de belastingdienst;
- opstellen van digitale identiteitskaart;
- fiscale bewaarplicht.
Vitale belangen
- het redden van een verkeersslachtoffer;
- het behandelen van een persoon die op straat is aangevallen.
Algemeen belang
- de verwerking van persoonsgegevens bij een autokeuringscentrum (aangezien het technisch keuren van auto’s milieuvriendelijkheid en verkeersveiligheid wil waarborgen);
- de verwerking van de basisgegevens van personen (bij deze rechtsgrond kan het ‘recht op vergetelheid’ trouwens niet worden ingeroepen, logisch want dan zou je voor dat lokaal bestuur zogezegd niet bestaan).
Gerechtvaardigd belang
- de verwerking van persoonsgegevens van kinderen (zij worden extra beschermd onder de AVG en hun belang primeert op dat van de verwerkingsverantwoordelijke en/of derden);
- direct marketing (opgelet: een betrokkene mag altijd bezwaar maken tegen direct marketing en de verwerking moet dan ook stoppen);
- fotografie: bijvoorbeeld fotograferen op evenementen of voor journalistieke doeleinden, of in het kader van een documentaire. Op basis van deze rechtsgrond is het niet mogelijk voor de betrokkene om bij straatfotografie afstand te doen van de quitclaim (overeenkomst tussen fotograaf en model waarbij de geportretteerde zijn toestemming geeft om bij de gemaakte opnamen af te zien van het portretrecht).
Toestemming
- inschrijving bij bibliotheek (let op: kinderen moeten toestemming ouders/voogd hebben om zich te mogen inschrijven!);
- inschrijving voor theatervoorstelling in cultureel centrum;
- indiening vraag aan balie van gemeentehuis.
Wat als ik gevoelige persoonsgegevens moet verwerken?
De verwerking hiervan is in principe verboden. Toch mag er in volgende gevallen verwerking plaatsvinden:
- bij expliciete toestemming gegeven door de betrokkene;
- bij gegevens die publiek beschikbaar zijn omdat ze manifest door de betrokkene zelf openbaar gemaakt zijn;
- op grond van tewerkstellingswetgeving (allerhande gegevens moeten verwerkt worden in het kader van sociale zekerheid, wettelijke verplichtingen en contractuele overeenkomsten);
- bij zaken van levensbelang, als de betrokkene niet in staat is zijn toestemming te geven (hier gaat het vaak precies over het gebruiken of doorgeven van medische gegevens);
- voor vzw’s of organisaties voor een goed doel, voor zover het gaat om wettig gebruik van gegevens over leden, vroegere leden of personen met wie ze regelmatig contact hebben;
- voor verenigingen, vakbonden of politieke en religieuze organisaties (met politieke, filosofische of religieuze doeleinden);
- gegevens over misdrijven of strafrechtelijke zaken kunnen enkel verwerkt worden door publieke autoriteiten of in gevallen die door de wetgeving (EU of landelijk) zijn voorzien. Elk land kan daarbij zijn eigen beperkingen opleggen. Strafrecht is trouwens een nationale materie en wordt niet geregeld door de GDPR;
- indien de gegevens noodzakelijk zijn in het kader van rechtszaken;
- in een aantal gevallen omwille van het algemeen belang:
- bij substantieel algemeen belang, en gedekt door EU of landelijke wetgeving, die ook de rechten van het individu beschermt;
- in het kader van de gezondheidszorg (diagnoses door medische professionals, gegevens voor de organisatie van gezondheidszorg of sociale zekerheid, assessments van de gezondheid van werknemers, onderzoek van geneesmiddelen);
- gegevens nodig voor wetenschappelijk of historisch onderzoek of archivering, waarbij je de nodige beschermingsmaatregelen moet nemen (de resultaten van onderzoek kunnen bijvoorbeeld geanonimiseerd of gepseudonimiseerd worden).
Wat is toestemming eigenlijk volgens de AVG?
Toestemming is een actieve handeling die vrijwillig, actief en geïnformeerd plaatsvindt en waarmee de betrokkene zijn goedkeuren verleent voor de verwerking van zijn persoonsgegevens.
De toestemming moet even gemakkelijk kunnen worden ingetrokken (= opt-out) als dat het wordt gegeven. Los dit praktisch op door bijvoorbeeld op de nieuwsbrief een aanklikbare link ‘uitschrijven’ te voorzien. Of door te werken met checkboxen die kunnen worden aangevinkt (= toestemming gegeven) of afgevinkt (= toestemming ingetrokken).
Een belangrijke vereiste onder de AVG is ook dat toestemming moet kunnen worden bewezen. Zorg dus voor een ‘toestemmingsregister’. Een mogelijke oplossing is om met checkboxen te werken. Als die worden aangevinkt, dan is er toestemming gegeven (want het aanvinken van een vakje is een actieve handeling). Laat de IT-dienst bijhouden welke betrokkenen via die weg toestemming hebben verleend en verzamel alle toestemmingen in een Excel-file, formulier, of een soortgelijk overzicht. Let op: het vinkje voor toestemming mag niet standaard aan staan, anders is er geen sprake van een actieve handeling!
Toestemming moet je zien als een restbepaling onder de AVG. Pas als je geen van de andere rechtsgronden kan gebruiken is het aangewezen om toestemming te hanteren als grond. Toestemming heeft wel dezelfde rechtswaarde als de andere rechtsgronden; de betrokkene verklaart zich immers expliciet akkoord met de vraag of de persoonsgegevens mogen verwerkt worden. Het grote nadeel aan toestemming is dat de betrokkene te allen tijde zijn toestemming terug kan intrekken (opt-out), wat ervoor zorgt dat deze rechtsgrond enige onzekerheid inhoudt. Het vergt ook een grote inspanning van u als verwerkingsverantwoordelijke: je moet nagaan voor welke verwerkingen je toestemming gaat vragen, met welke finaliteit, je moet de toestemming voor elke betrokkene verzamelen en bijhouden, enz.
Stel dat je een dienst moet leveren aan een persoon, en je hebt als rechtsgrond gekozen voor toestemming, maar de betrokkene trekt zijn toestemming plots in, wat dan? Je kunt niet zomaar je rechtsgrond wijzigen naar die van ‘uitvoering van een overeenkomst’ (hoewel die rechtsgrond passender was geweest) en kunt de dienst dus niet leveren, wat gelijkstaat met een wanprestatie. Denk dus goed na welke rechtsgrond je kiest voor welke verwerking.
Meer zekerheid voor een verwerking inbouwen? Opteer dan voor een van de 5 andere rechtsgronden die hierboven werden aangehaald.