Voldoen aan de AVG, stap 9 en 10: toezichthouder en toestemming vragen

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Met de AVG (GDPR) kent de Europese Unie één privacywet. Is jouw organisatie in meerdere EU-landen actief? Of verwerk je persoonsgegevens uit meerdere Europese lidstaten? Dan hoef je volgens de AVG maar met één privacy toezichthouder zaken te doen. Je mag persoonsgegevens verwerken als je toestemming hebt of als het valt onder een andere grondslag.

Stap 9: Bepaal de leidende toezichthouder

Heeft jouw organisatie vestigingen in meerdere landen of verwerk je gegevens in verschillende landen? Dan is er sprake van grensoverschrijdende samenwerking. De toezichthouder van het land van de hoofdvestiging is in zo’n situatie de leidende toezichthouder. Bij een Nederlandse hoofdvestiging is de Autoriteit Persoonsgegevens de leidende toezichthouder.

Stap 10: Toestemming vragen of een andere grondslag?

Persoonsgegevens mag je alleen verwerken als de AVG daar een grondslag voor geeft. Er zijn 6 grondslagen:

1. Verleende toestemming voor de verwerking van persoonsgegevens.

Onder de AVG is alleen sprake van toestemming als de betrokken persoon:

  • in alle vrijheid
  • ondubbelzinnig
  • door een verklaring of een actieve handeling
  • voor specifieke verwerking van persoonsgegevens

toestemming heeft gegeven.

Stilzwijgende toestemming is niet voldoende. Je moet kunnen aantonen dat je geldige toestemming van mensen heeft gekregen voor het verwerken van hun persoonsgegevens.

Het intrekken van de toestemming moet net zo eenvoudig zijn als het geven ervan. Je moet de toestemminggever ook op dit recht wijzen. Na intrekking van de toestemming moet je de verwerking van de betreffende gegevens stoppen. Je kunt dan geen andere grondslag gebruiken om de gegevens toch te verwerken.

Andere grondslagen

Deze volgende 5 grondslagen zijn noodzakelijkheidsgrondslagen. De verwerking van persoonsgegevens mag alleen als het nodig is voor 1 van de genoemde doelen.

2. Uitvoering van een overeenkomst

Persoonsgegevens mag je verwerken voor de uitvoering van een overeenkomst. Bijvoorbeeld het vastleggen van naam en adresgegevens om een besteld product bij jouw klant thuis te kunnen afleveren. Deze gegevens mogen alleen voor dat doel worden gebruikt. Je mag deze gegevens later niet gebruiken om je klant een nieuwsbrief te sturen. Daarvoor heb je weer toestemming nodig.

3. Wettelijke verplichting

Soms moet je persoonsgegevens vastleggen om te voldoen aan een wettelijke verplichting. Een werkgever moet de persoonsgegevens van werknemers vastleggen en doorgeven aan bijvoorbeeld de Belastingdienst. Zonder toestemming van de werknemer mogen de gegevens niet worden doorgegeven aan een organisatie waarvoor geen wettelijke verplichting geldt. Daarvoor is weer toestemming nodig.

4. Vitaal belang

In noodsituaties, als het gaat om gezondheid of gevaar voor leven kan verwerking van persoonsgegevens door hulpverleners gerechtvaardigd zijn. Deze grondslag kan alleen gebruikt worden als het echt niet mogelijk is om toestemming te krijgen.

5. Algemeen belang

Je mag onder deze grondslag persoonsgegevens verwerken als het gaat om een andere wettelijke bepaling waarin ook het doel van de verwerking is omschreven.

6. Gerechtvaardigd belang

Persoonsgegevens mogen worden verwerkt voor het behartigen van een gerechtvaardigd belang. Het ‘gerechtvaardigd belang’ gaat niet op als de rechten van de betrokken personen zwaarder wegen. Het kan gaan om een gerechtvaardigd belang als er sprake is van een relevante en passende relatie tussen een organisatie en haar klanten. Bij een gerechtvaardigd belang kan het bijvoorbeeld gaan om het verwerken van inlognamen en wachtwoorden voor de beveiliging van het netwerk. De organisatie moet open zijn over het gerechtvaardigde belang. Betrokken personen kunnen bezwaar maken tegen het verwerken van persoonsgegevens op grond van het gerechtvaardigd belang.

Voldoen aan de AVG, dit artikel beschrijft stap 9 en 10.

Meer informatie over de AVG lees je op de site van de Autoriteit Persoonsgegevens of download de uitgebreide Handleiding Algemene Verordening Gegevensbescherming (AVG) van Rijksoverheid.nl.

Meer over de AVG

Alles over de AVG

Stappen om te voldoen aan de AVG

Voldoen aan de AVG

Voldoen aan de AVG, stap 1 en 2: bewustwording en informeren

Voldoen aan de AVG, stap 3 en 4: register en beoordeling impact

Voldoen aan de AVG, stap 5 en 6: inrichten en toezicht

Voldoen aan de AVG, stap 7 en 8: datalekken en verwerkersovereenkomst

Heeft deze informatie je geholpen?