Leestijd: circa 5 minuten
16/11/2017
Bij heel wat ondernemingen breekt het angstzweet uit van zodra ze iets te horen krijgen over de GDPR. Deze nieuwe privacyregels stellen immers hoge eisen aan de verwerking van persoonsgegevens. Een gevolg van deze massale golf van paniek is dat heel wat bedrijven denken dat ze nu steeds uitdrukkelijke toestemming zullen moeten vragen. Gelukkig zijn er ook andere legitieme gronden om gegevens te mogen verwerken, en wees gerust, de betrokkenen hoeven niet allemaal steeds uitdrukkelijk met alles in te stemmen.
Verwerkingsgronden
Toestemming, contractuele noodzakelijkheid, wettelijke verplichting, bescherming van een vitaal belang, vervulling van een taak van het algemeen belang en gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Dit zijn de zes gronden waarop je je volgens de GDPR mag baseren om gegevens te verwerken.
Denk maar aan de overheid. Zij hoeven niet aan iedere bestuurder op de autostrade om toestemming vragen via een thumbs up uit het raam om diens nummerplaat te registreren. Zij kunnen zich eenvoudig beroepen op de verwerkingsgrond ‘nodig ter behartiging van algemene belangen’. Een ander voorbeeld is een ziekenhuis dat geen toestemming nodig heeft om jouw naam te verwerken in hun systeem als je op de spoedafdeling wordt opgenomen. Het is immers letterlijk een verwerking in jouw vitaal belang.
Het gebruik van toestemming
Afhankelijk van de specifieke context, is het mogelijk dat het verwerken van gegevens niet anders kan dan op basis van toestemming. Opnieuw toestemming vragen aan oude klanten kan bijvoorbeeld soms de enige optie zijn om conform de nieuwe regelgeving persoonsgegevens verder te gebruiken. Het kan gebeuren dat je gegevens verwerkt voor doeleinden die niet steeds in het grootste belang van het individu zijn, maar wel enorm handig voor jouw commerciële activiteiten. Toestemming is dan steeds een grond waarop je kan terugvallen.
Wees gewaarschuwd, deze werkwijze brengt een bijkomende verantwoordelijkheid en moeilijkheid met zich mee: de betrokkene heeft steeds het recht om zijn toestemming in te trekken. Aan dit verzoek moet uiteraard ook effectief gehoor worden gegeven. Het is dus geen bijzonder handige verwerkingsgrond voor ondernemingen, maar vaak wel noodzakelijk als laatste redmiddel.
Gerechtvaardigd belang
Een andere rechtsgrond dan toestemming is die van de gerechtvaardigde belangen. Vaak kan je als onderneming op je beide oren slapen door gegevens verder te gebruiken omwille van het feit dat dit nu eenmaal nodig is voor de behartiging van een gerechtvaardigd belang. In veel gevallen kan een bedrijf hierop terugvallen om zonder de specifieke, ondubbelzinnige, vrije en geïnformeerde toestemming van de betrokkene persoonsgegevens te verwerken. Opnieuw toestemming vragen zal dus niet steeds nodig zijn, waardoor de administratieve last die met de verzameling, administratie en eventueel intrekking van toestemming gepaard gaat, omzeild kan worden.
Belangenafweging
Wanneer je je wil beroepen op de rechtsgrond van de gerechtvaardigde belangen, dien je eerst een belangenafweging te maken. Dit houdt in dat je de belangen die je hebt bij een bepaalde verwerking moet afwegen tegen het recht op privacy en de grondrechten van de betrokkene. Concreet betekent dit dat je moet kijken naar de gevolgen van de verwerking voor de betrokkene. Enkel als het eerste belang (het belang van de verwerkingsverantwoordelijke) zwaarder doorweegt dan het tweede (het belang van de betrokkene), zal de verwerking kunnen plaatsvinden op basis van deze rechtsgrond.
Bovendien moet de verwerking noodzakelijk zijn voor de verwerkingsverantwoordelijke (lees: de partij/onderneming die de middelen en doeleinden kiest waarop gegevens worden verwerkt). Bij deze belangenafweging moet er rekening worden gehouden met verschillende factoren. Het belang van de betrokkene zal bijvoorbeeld zwaarder doorwegen indien hij of zij een kind is, of in omstandigheden waar geen verdere verwerking meer kan worden verwacht.
Zoeken naar rechtvaardiging
Het hebben van een belang is een noodzakelijke, maar geen voldoende voorwaarde. Het moet verder gaan om een gerechtvaardigd belang. Een belang is gerechtvaardigd wanneer de verwerkingsverantwoordelijke kan aantonen dat het belang (1) rechtmatig is, (2) een werkelijk, aanwezig belang vertegenwoordigt en (3) voldoende duidelijk is voor de betrokkene. Indien je je verwerking wil laten gronden op deze reden, zorg dan voor transparantie van deze verwerkingsgrond en vermeld dit belang bijvoorbeeld duidelijk in de privacy policy. Zo vergroot je de kans dat de verwerking gerechtvaardigd is en waarborg je verder de rechten van betrokkenen. Zorg er verder voor dat je deze belangenafweging ergens neerschrijft, bewaart en gemakkelijk kan demonstreren indien een controle van de autoriteiten zich ooit zou voordoen. Zo kan je aantonen dat je op voorhand al een denkoefening hebt verricht en dat de rechten van de betrokken wel effectief in rekenschap werden genomen.
Recht op verzet
Zoals ondertussen duidelijk is geworden, is het toegestaan gegevens te verwerken op grond van gerechtvaardigde belangen en is toestemming niet steeds noodzakelijk. Dit geeft jou, als verwerkingsverantwoordelijke, echter geen vrijgeleide: de betrokkene beschikt steeds over een recht op verzet. Dit houdt in dat de betrokkene zich kan verzetten tegen de verwerking van zijn persoonsgegevens. In dat geval moet je stoppen met de verwerking van de persoonsgegevens van de betrokkene tenzij jouw belangen zwaarder doorwegen dan de belangen, rechten en vrijheden van de betrokkene. Wanneer een betrokkene zich verzet, dien je je eerder gemaakte belangenafweging van dichtbij opnieuw te bekijken.
Let op, wanneer een betrokkene zich verzet tegen het verwerken van zijn persoonsgegevens voor direct marketingdoeleienden moet je meteen stoppen met de verwerking. Er moet geen belangenafweging worden gemaakt: jouw belangen kunnen in dit geval niet zwaarder doorwegen.
Conclusie
Toestemming is geen noodzakelijke voorwaarde om persoonsgegevens te verwerken. Er zijn in totaal zes rechtsgronden en de verwerking ter behartiging van een gerechtvaardigd belang is daar één van. Onderzoek dus goed welke gegevens op welke grond kunnen verwerkt worden. Maak daarbij een duidelijke belangenafweging. Weet dat betrokkenen het recht hebben om verzet aan te tekenen tegen jouw gemaakte belangenafweging en bereid je daarop voor. Kies je toch voor het gebruik van de verwerkingsgrond van het gerechtvaardigd belang, leg de betrokkenen dan voldoende uit waarom het een gerechtvaardigd belang uitmaakt.
Geschreven door Thomas Vermaerke.