Gerechtvaardigd belang als basis voor verwerken van persoonsgegevens

Logo Privacy Based small

Deze serie artikelen zijn vertalingen van Engelstalige documenten die zijn opgesteld door toezichthouders en EU instellingen. Er kunnen geen rechten aan worden ontleend en zijn de vrije interpretatie van PrivacyBased BV.

Inleiding

Als je persoonsgegevens wilt verwerken dan moet je voldoen aan de uitgangspunten van de Algemene Verordening Persoonsgegevens. Die zijn gebundeld in artikel 5 van de AVG. Transparant, behoorlijk, met een duidelijk omschreven doel (doelbinding), niet meer dan strikt nodig (minimalisatie), correct zijn, worden bewaard voor een periode waarin verwerken noodzakelijk is, passende technische en organisatorische maatregelen treffen om veilig te verwerken en alles met een verantwoordingsplicht.

Artikel 6 gaat verder dat de verwerking alleen mag gedaan worden met de juiste wettelijk basis. Die zijn (in volgorde van de wettekst);

  1. op basis van toestemming van de betrokkene;
  2. op basis van een contractuele overeenkomst, zoals een bestelling;
  3. om te voldoen aan een wettelijke plicht, zoals de eisen van de belastingdienst;   
  4. voor het vervullen van een taak van vitala belang voor de betrokkene;
  5. voor het vervullen van een taak van algemeen belang, zoals overheden;
  6. voor de behartiging van het gerechtvaardigd belang van de verwerkingsverantwoordelijke.

Is die volgorde wel de juiste?

Bedrijven zijn erg krampachtig van start gegaan met de AVG en ik hoor in de dagelijkse praktijk dat de meeste mensen zeggen dat toestemming eigenlijk nog de enige wettelijke basis is waaronder verwerken echt mag. Daar ben ik het niet mee eens.

Bedrijven hebben gerechtvaardigd belang om hun werk te doen en met (potentiële) klanten in contact te komen en te blijven. En in Europa is er ene tendens waarneembaar dat gerechtvaardigd belang wel eens belangrijker is dan toestemming. Wat wel lastig is voor bedrijven is dat er aan afweging gemaakt moet worden tussen het belang van het bedrijf en het belang van de betrokkenen. En een risico analyse (DPIA) of elke beoordeling van de AVG moet gedaan worden met het belang van de betrokkenen als uitgangspunt. Dus hoe doe je dat dan in de praktijk?

Naast de DPIA is er ook een LIA

De DPIA is verplicht wanneer de verwerking van de persoonsgegevens een hoog risico met zich mee brengt voor de betrokkenen. De Legitimate Interest Assessment (in het Nederlands zou die dan Gerechtvaardigd Belang Beoordeling heten = GBB) is niet verplicht maar is als tool heel goed bruikbaar om de afweging te maken in belangen.

Er is geen gedefinieerd proces voor beschikbaar maar er zijn 3 stappen te nemen:

  1. De doel-test waarin wordt bepaald wat het gerechtvaardigd belang is van het bedrijf;
  2. De noodzakelijkheids-test waarin wordt bepaald of de verwerking niet op ene andere manier gedaan kan worden;
  3. De balans-test waarin de belangen van de betrokkenen worden meegenomen.

De Britse toezichthouder heeft hiervoor een Word-template gemaakt. Ze hebben ook een goede beschrijving gemaakt hoe je zo'n LIA kunt uitvoeren.

Meer informatie volgt binnenkort ... Wil je nu al meer weten over de LIA?

Neem dan contact op met PrivacyBased, Hans Leemans of Jeroen Bartels.