Veel organisaties zien de Algemene Verordening Gegevensbescherming (AVG) als een horde. Een blok aan het been, dat van alles en nog wat verbiedt, en innovatieve ideeën in de weg staat. “Dat zal wel niet mogen van de AVG” is een veelgehoorde uitspraak. Klopt deze uitspraak? Nee. De AVG laat veel toe, mits je goed uitlegt wat je aan het doen bent. Deze verantwoordingsplicht loopt als een rode draad door de AVG heen. Dit zie je ook terug bij de grondslagen voor het verwerken van persoonsgegevens, en dan met name de grondslag gerechtvaardigd belang. Als organisatie moet je een grondslag hebben om persoonsgegevens te verwerken. De grondslag “gerechtvaardigd belang” kan in bepaalde gevallen een passend alternatief zijn voor ongeschikt gebruik van, bijvoorbeeld, de grond "toestemming" of "de uitvoering van een overeenkomst", mits je verantwoording aflegt met een driestappentoets. Hoe werkt dat nu precies met zo’n gerechtvaardigd belang?
Verantwoording afleggen met een driestappentoets
Het recht op privacy van de betrokkene is niet absoluut. Dat betekent dat andere rechten zwaarder kunnen wegen, wanneer die botsen met dit recht. De AVG noemt bijvoorbeeld expliciet dat in sommige gevallen het recht op ondernemerschap zwaarder kan wegen dan het recht op privacy van de betrokkene. Een beroep op de grondslag gerechtvaardigd belang kan uitkomst bieden in het geval je als organisatie meent een belang te hebben bij een verwerking van persoonsgegevens. Om gebruik te kunnen maken van de grondslag gerechtvaardigd belang dien je een zorgvuldige – schriftelijke – belangenafweging te maken. Daarbij dient te worden afgewogen of het belang van de organisatie (of van een derde), zwaarder weegt dan het privacybelang van de betrokkene. Om deze belangenafweging te maken dient een driestappentoets te worden doorlopen:
- Heb je een gerechtvaardigd belang?
- Is de voorgenomen verwerking van persoonsgegevens noodzakelijk om het doel te bereiken?
- Weegt het belang van jouw organisatie (of een derde) zwaarder dan het privacybelang van de betrokkene?
Stap 1: heb je een gerechtvaardigd belang?
Hoewel het redelijk voor zich spreekt dien je als organisatie (of een derde) ook daadwerkelijk een gerechtvaardigd belang te hebben. Met andere woorden, de verwerking van persoonsgegevens moet een bepaalde “waarde” voor de organisatie of een derde hebben. Deze waarde dien je als organisatie duidelijk te verwoorden. Denk aan beveiliging, het aanpakken van fraude en/of commerciële waarde. In een eerdere blog schreven wij over een zaak waarin een werkgever een gerechtvaardigd belang had om een onderzoeksbureau in te schakelen, nadat er een melding was ontvangen van ongewenst gedrag op de werkvloer. De werkgever had er een bepaald belang bij dat het ongewenste gedrag werd onderzocht.
Stap 2: noodzakelijk?
Het verwerken van persoonsgegevens dient noodzakelijk te zijn om het doel te bereiken. In juridische taal ook wel de proportionaliteit- en subsidiariteitstoets genoemd. Proportionaliteit betekent dat de verwerking in verhouding moet staan tot het te bereiken doel. Daarbij is met name belangrijk om na te gaan of het verwerken van persoonsgegevens een bijdrage levert om dat doel te bereiken. Ook dienen er zo min mogelijk persoonsgegevens te worden verwerkt. Kan je het doel ook bereiken met minder persoonsgegevens? Als je bijvoorbeeld ongewenst internetgebruik van werknemers wil gaan controleren, dan mag je dit niet constant doen. Het doel kan namelijk ook worden bereikt als je steekproefsgewijs en periodiek gaat controleren.
Subsidiariteit houdt in dat het doel niet op een andere manier kan worden bereikt die minder ingrijpt in de privacy van werknemers. Er mogen dus geen andere minder zware middelen zijn waarmee het doel kan worden bereikt. In een eerdere blog schreven wij over het gebruik van een ‘vingerscan-autorisatiesysteem’ bij schoenenketen Manfield. In het kader van noodzakelijkheid oordeelde de kantonrechter dat alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende waren onderzocht.
Stap 3: belangenafweging
De laatste stap is het maken van een belangenafweging tussen de belangen van jouw organisatie (of een derde) en het privacybelang van de betrokkene. In dat kader dient onder andere de gevoeligheid van de gegevens te worden meegenomen. Indien het gaat om medische of financiële gegevens dan zal de belangenafweging minder snel in jouw voordeel uitvallen, dan wanneer er enkel contactgegevens worden verwerkt. Maar denk ook aan de doelgroep. Het verwerken van persoonsgegevens van kinderen (kwetsbare groep) zal lastiger zijn dan het verwerken van persoonsgegevens van professionele dienstverleners, omdat het belang van kinderen zwaar weegt. Verder speelt de verwachting van de betrokkene een rol. Mag de betrokkene verwachten dat zijn persoonsgegevens worden verwerkt? Als organisatie kun je maatregelen nemen om de belangenafweging eerder in jouw voordeel te laten uitvallen. Denk aan maatregelen zoals (1) het op de juiste wijze informeren over de verwerking van hun persoonsgegevens; (2) de persoonsgegevens niet inzetten voor andere doeleinden; (3) de persoonsgegevens zo snel mogelijk op een veilige manier verwijderen; (4) een onvoorwaardelijk recht van bezwaar aanbieden aan betrokkenen; en (5) het nemen van een passende beveiligingsmaatregel.
Heb je hulp nodig? Neem vrijblijvend contact met ons op.
