Zoals je ondertussen misschien wel weet onderscheidt de AVG zes verschillende rechtvaardigingsgronden voor de verwerking van persoonsgegevens, oftewel er zijn zes mogelijke voorwaarden die toelaten dat je persoonsgegevens mag verwerken. De laatste grondslag, het gerechtvaardigd belang (artikel 6f AVG) is in mijn ogen het meest interessant. Helaas is deze grondslag in het algemeen niet bruikbaar voor overheden, die zullen zich moeten beroepen op een wettelijke verplichting of een publieke taak. De hamvraag: hoe werkt dat gerechtvaardigd belang nou eigenlijk?

Vorig jaar was ik aanwezig bij het IAPP Europe Data Protection Congress in Brussel en heb daar meerdere workshops bijgewoond. De workshop over het bepalen van een gerechtvaardigd belang was daarbij met uitstek het populairst. Het werd al snel pijnlijk duidelijk dat men eigenlijk geen idee heeft over hoe het gerechtvaardigd belang toegepast moet worden. En dat is gek, want voor commerciële bedrijven is dat misschien wel de belangrijkste grondslag voor de verwerking van persoonsgegevens. Veel mensen zijn van mening dat toestemming het meest voor de hand liggend is voor bedrijven, maar mijn collega Karen Siemers heeft in haar blog haarfijn uitgelegd waarom dat toch echt een illusie is (klik hier).

Gerechtvaardigd belang: wat is dat?

Maar nu weer even terug bij het gerechtvaardigd belang. Om te beginnen kijken we naar de definitie uit de AVG (zie tekstbox). Hieruit blijkt dat de verwerking noodzakelijk moet zijn voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke (het bedrijf/organisatie) en dat deze belangen zwaarder moeten wegen dan het belang van de bescherming van de persoonsgegevens van de betrokkene (klant). Daarbij is ook nog opgenomen dat als het om een kind gaat, deze belangen automatisch nog zwaarder wegen.

De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de
verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Dit betekent eigenlijk dat er vier voorwaarden zijn waar aan je moet voldoen om je te beroepen op het gerechtvaardigd belang, namelijk:

  • Het identificeren van een (gerechtvaardigd) belang
  • Laten zien dat verwerking noodzakelijk is om het belang te behartigen
  • Afwegen of dit belang in verhouding staat tot de impact die het heeft op de fundamentele rechten en vrijheden van betrokkenen (balanstoets)
  • Transparantie en recht tot bezwaar

Identificatie gerechtvaardigd belang

Laten we beginnen met het eerste onderdeel, identificatie van het gerechtvaardigd belang. Binnen ons huidige kapitalistische systeem hebben bedrijven vaak één overkoepelend doel – het genereren van meer winst. Hieronder liggen meerdere belangen die daaraan bijdragen: opbouwen klantrelaties, verbeteren klantenservice, optimaliseren van producten, marketing, tegengaan van fraude etc. Dit zijn gerechtvaardigde belangen, waarbij persoonsgegevens vaak een essentiële rol spelen voor de realisatie daarvan. Niet elk belang is echter gerechtvaardigd – deze moet aan de volgende eisen voldoen:

  • Is het belang rechtmatig? (in overeenstemming met toepasselijk EU- en nationaal recht). Deze lijkt mij logisch, het belang dat je nastreeft moet wel passen binnen de kaders van onze wetten.
  • Is het belang voldoende duidelijk en specifiek verwoord? Het belang mag niet te vaag omschreven worden, dus is het essentieel dat je dit zo concreet mogelijk beschrijft.
  • Is er sprake van een ‘echt’ en dus niet ‘speculatief’ belang? Het belang moet zich in het hier en nu bevinden. Je mag dus geen persoonsgegevens gaan verwerken omdat je hier mogelijk in de toekomst baat bij denkt te zullen hebben.

Noodzakelijkheid

De volgende onderbouwing die je moet geven is de noodzakelijkheid van de persoonsgegevens voor de behartiging van het eerder vastgestelde belang. Hierbij moet de nadruk liggen op het uitleggen hoe het gebruik van de persoonsgegevens leidt tot het belang dat je nastreeft – en dat het niet mogelijk is om dit doel met minder persoonsgegevens te realiseren.

Balanstoets

De volgende stap is de balanstoets. Als verantwoordelijke moet je afwegen of de rechten en vrijheden van betrokkenen niet zwaarder wegen dan het verwerkingsbelang van jouw organisatie. Zoals met meerdere zaken uit de AVG maakt zo’n open formulering het moeilijk om een eenduidig antwoord te vinden. Belangrijk om in je overweging mee te nemen is de ‘reasonable expectation of privacy’, oftewel – zou een betrokkene redelijkerwijs kunnen verwachten dat deze gegevens voor het door jouw gekozen doel verwerkt kunnen worden? Die afweging wordt maar op één manier gemaakt: je boerenverstand.

Transparantie en recht tot bezwaar

Als je de bovenstaande stappen doorlopen hebt en tot de conclusie gekomen bent dat je een gerechtvaardigd belang hebt bij de verwerking, is het nog wel noodzakelijk om betrokkenen daarover te informeren. De meest logische plek om dit te doen is binnen je privacyverklaring (op de website van je organisatie). Daarnaast hebben betrokkenen ook het recht om bezwaar te maken tegen jouw gerechtvaardigd belang. Je moet ze die kans ook geven (bijvoorbeeld door het eenvoudig te maken om zich uit te schrijven voor jouw nieuwsbrief). Indien de betrokkene hiervoor kiest, betekent dat je voor dat individu de verwerking zal moeten stoppen.  

Conclusie

De grondslag gerechtvaardigd belang is een bijzonder bruikbare grondslag, vooral voor (commerciële) bedrijven. Het is in veel gevallen mogelijk om je te beroepen op deze grondslag, en kost minder werk dan het gebruik van toestemming. Het enige wat rest is dat je aan kunt tonen dat je het belang en de noodzakelijkheid van de verwerking hebt onderbouwd, en deze belangen hebt afgewogen tegen de impact die het maakt op de betrokkenen. Als je hier dan ook nog duidelijk over communiceert, dan heb je alles netjes volgens de AVG geregeld.


Over de auteur

Terug naar het overzicht