GDPR Compliance

Justice statue by John van Nost the Younger on the Gate of Justice, Dublin Castle, Ireland (photo: Vic Geusau)

Wanneer is mogelijk sprake van een ‘gerechtvaardigd belang’ als rechtmatige grondslag voor de verwerking van persoonsgegevens?

Een organisatie moet vaak persoonsgegevens verwerken om taken uit te voeren die verband houden met haar bedrijfsactiviteiten. De verwerking van persoonsgegevens in die context hoeft niet noodzakelijkerwijs te worden gerechtvaardigd door een wettelijke verplichting of om de voorwaarden van een overeenkomst met een betrokkene op te volgen. In dergelijke gevallen kan de verwerking van persoonsgegevens gerechtvaardigd zijn op grond van ‘gerechtvaardigd belang’.

In artikel 6 lid 1 AVG worden de mogelijke grondslagen voor een rechtmatige verwerking van persoonsgegevens aangegeven (o.b.v. het rechtmatigheidsbeginsel ex. artikel 5 lid 1 sub a AVG*), zijnde:

1. Toestemming betrokkene;
2. Uitvoering van een overeenkomst tussen verwerkingsverantwoordelijke en betrokkene;
3. Wettelijke grondslag verwerkingsverantwoordelijke;
4. Bescherming vitale belangen betrokkene;
5. Vervulling taak van algemeen belang;
6. Sprake van een gerechtvaardigd belang.

In artikel 6 lid 1 sub f wordt bepaald dat de verwerking van persoonsgegevens rechtmatig is, als deze noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

In overweging 47 AVG wordt aangegeven dat daarbij rekening gehouden moet worden met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke.

Wanneer de belangen van de betrokkene zwaarder wegen dan de belangen van de verwerkingsverantwoordelijke of derde, kan géén sprake zijn van een gerechtvaardigd belang (dit geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken).

Een gerechtvaardigd belang is derhalve flexibeler ten opzichte van de andere grondslagen voor rechtmatige verwerking en kan in principe van toepassing zijn op elke vorm van verwerking voor elk redelijk doel.

Er dient dus een afweging plaats te vinden of, aan de zijde van de verwerkingsverantwoordelijke of derde, sprake kan zijn van een gerechtvaardigd belang.

Daarin moet aangetoond worden dat een redelijk mens verwerking van diens persoonsgegevens mag verwachten in het licht van specifieke omstandigheden.

In het arrest van het Hof van Justitie van 4 mei 2017, zaak C-13/16 (Rigas) worden drie cumulatieve voorwaarden gesteld waaraan moet zijn voldaan opdat een verwerking van persoonsgegevens rechtmatig is.

Te weten:

1. Doelbinding: de behartiging van een gerechtvaardigd belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt,
2. Noodzaak: de noodzaak van de verwerking van de persoonsgegevens voor de behartiging van het gerechtvaardigde belang,
3. Afweging belang: de voorwaarde dat de fundamentele rechten en vrijheden van de bij de gegevensbescherming betrokken persoon niet prevaleren.

Het Information Commissioner’s Office heeft aan deze zogeheten ‘rechtmatigheidsbeoordeling’ nadere invulling gegeven in de vorm van drie toetsen:

Doeltoets

Is er een doel om een belang van de verwerking te rechtvaardigen?

Identificeer en specificeer het doel van de verwerking en beslis of dat als een gerechtvaardigd belang kan worden aangemerkt.

De volgende vragen kunnen hieromtrent gesteld worden:

1. Waarom wilt u de persoonsgegevens verwerken?
2. Welk voordeel verwacht u van de verwerking te krijgen?
3. Hebben derden baat bij de verwerking?
4. Zijn er bredere publieke voordelen voor de verwerking?
5. Hoe belangrijk zijn die voordelen?
6. Wat zou de impact zijn als verwerking niet plaatsvindt?
7. Wat is de beoogde uitkomst voor betrokkenen?
8. Voldoet u aan andere relevante wetten?
9. Voldoet u aan de richtlijnen of praktijkrichtlijnen van de industrie?
10. Zijn er ethische problemen met de verwerking?
11. Is verwerking noodzakelijk binnen het kader van fraudepreventie (voor zover strikt noodzakelijk)?
12. Is verwerking noodzakelijk binnen het kader van netwerk- en informatiebeveiliging (voor zover strikt noodzakelijk)?
13. Is verwerking noodzakelijk om mogelijke criminele handelingen of bedreigingen voor de openbare veiligheid aan te geven?

Noodzakelijkheidstoets

Is de verwerking werkelijk noodzakelijk voor het doel dat in de doeltoets is geïdentificeerd?

Hoe duidelijker het doel is gespecificeerd, hoe eenvoudige de noodzakelijkheidstoets uitgevoerd kan worden.

De volgende vragen kunnen hieromtrent gesteld worden:

1. Zal de verwerking u daadwerkelijk helpen uw doel te bereiken?
2. Is de verwerking evenredig aan dat doel, of kan het worden gezien als het gedrag van een olifant in een porseleinkast?
3. Kunt u uw doel bereiken zonder de gegevens te verwerken of door minder gegevens te verwerken?
4. Kunt u uw doel bereiken door de gegevens op een andere meer voor de hand liggende of minder opdringerige manier te verwerken?
5. Is het belang van de verwerkingsverantwoordelijke ondergeschikt aan de belangen, rechten of vrijheden van de betrokkene?

Afwegingstoets

Is het belang van de verwerkingsverantwoordelijke gerechtvaardigd?

De volgende vragen kunnen hieromtrent gesteld worden:

1. Wat is de aard van de persoonsgegevens die u wilt verwerken?
   • Is sprake van vitale / gevoelige persoonsgegevens?
   • Is sprake van strafrechtelijke gegevens?
   • Is sprake van gegevens die de betrokkene waarschijnlijk als ‘privé’ beschouwt, bijvoorbeeld financiële gegevens?
   • Verwerkt u de gegevens van kinderen of gegevens met betrekking tot andere kwetsbare personen?
   • Is sprake van gegevens over mensen in hun persoonlijke of professionele hoedanigheid?
2. Wat zijn de redelijke verwachtingen van de betrokkene?
   • Heeft u een bestaande relatie met de betrokkene? Zo ja, wat is de aard van die relatie?
   • Heeft u de te verwerken gegevens al in het verleden gebruikt? Zo ja, hoe?
   • Heeft u de gegevens rechtstreeks van de betrokkene verzameld?
   • Heeft u de betrokkene ingelicht over hergebruik van diens persoonsgegevens?
   • Als u de gegevens van een derde hebt verkregen, wat heeft deze dan aan de betrokkene verteld over hergebruik van de gegevens voor andere doeleinden?
   • Hoe lang geleden zijn de gegevens verzameld? Zijn er sinds die tijd veranderingen in de technologie of andere context die van invloed zijn op de huidige verwachtingen van de betrokkene?
   • Is uw beoogde doel en methode duidelijk of algemeen begrepen?
   • Bent u van plan om iets nieuws of innovatiefs te doen?
   • Heeft u enig concreet bewijs over verwachtingen, bijvoorbeeld van marktonderzoek, focusgroepen of andere vormen van overleg?
   • Zijn er andere factoren in de specifieke omstandigheden die betekenen dat de betrokkene de verwerking wel of niet zou verwachten?
3. Welk risico loopt de betrokkene?
   • Wat is de impact van de verwerking op de betrokkene?
   • Is er kans op schade aan de betrokkene die de verwerking kan veroorzaken?
   • Is het verrichten van een DPIA noodzakelijk (bij hoog risico)?
   • Kan sprake zijn van een belemmering voor de betrokkene met betrekking tot uitoefening van rechten (inclusief maar niet beperkt tot privacyrechten)?
   • Kan sprake zijn van een belemmering voor de betrokkene om toegang te krijgen tot diensten of kansen?
   • Kan de verwerking leiden tot enig verlies van controle over het verdere gebruik van persoonsgegevens?
   • Kan sprake zijn van fysieke schade?
   • Kan sprake zijn van financieel verlies, identiteitsdiefstal of fraude?
   • Kan sprake zijn van andere significante economische of sociale nadelen (zoals discriminatie, verlies van vertrouwelijkheid of reputatieschade)?
4. Moeten er voorzorgsmaatregelen worden genomen om negatieve gevolgen voor de betrokkene te verzachten?

 

Afsluiting

Duidelijk mag zijn dat een zorgvuldige beoordeling geboden is om te bepalen of sprake is van een gerechtvaardigd belang aan de zijde van de verwerkingsverantwoordelijke of van de derde. Alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van diens persoonsgegevens, redelijkerwijs mag verwachten dat verwerking op grond van een gerechtvaardigd belang van de verwerkingsverantwoordelijke mag plaatsvinden.

 

 Referenties:

• Europese Commissie ‘Wat betekent ‘grond van gerechtvaardigd belang?’ (https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/what-does-grounds-legitimate-interest-mean_nl).
• Artikel 6 en overwegingen 47, 48 en 49 van de AVG.
• Advies 06/2014 van de Groep gegevensbescherming artikel 29 over het begrip gerechtvaardigd belang.
• HvJ-EU 4 mei 2017 Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde tegen Rīgas pašvaldības SIA „Rīgas satiksme” C‑13/16.
• Information Commissioner’s Office ‘Legitimate Interests’ (https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/).

 

* In het doelbindingsbeginsel (artikel 5 lid 1 sub b AVG) zit ook een aspect van het rechtmatigheidsbeginsel opgesloten. Het doel op zich, moet namelijk wel rechtmatig (d.w.z. legitiem) zijn. Bijvoorbeeld, als het doel een crimineel oogmerk heeft, dan is dat doel niet rechtmatig. Het rechtmatigheidsbeginsel, dat verder wordt uitgewerkt in de artikelen artikel 6 t/m 8 AVG heeft betrekking op de verwerking (het doel moet dan wel als rechtmatig kunnen worden gekwalificeerd) en richt zich daarbij op de bescherming van de betrokkene. Als sprake is van een ‘gerechtvaardigd belang’, dan is het station van het verkrijgen van toestemming of dat van de andere gronden al gepasseerd. De verwerkingsverantwoordelijke is namelijk reeds op rechtmatige wijze in het bezit gekomen van de persoonsgegevens van de betrokkene (of heeft een rechtmatige reden om deze in het bezit te verkrijgen,  zoals een derde), maar heeft een nieuw en/of ander doel voor ogen gekregen. De betrokkene moet over dat doel, noodzaak en belang van de verwerkingsverantwoordelijke transparant worden geinformeerd. De betrokkene heeft het recht van bezwaar dan wel op gedeeltelijke beperking van de verwerking, als hij/zij het niet eens is met de uitkomst van de rechtmatigheidstoets die de verwerkingsverantwoordelijke heeft verricht.

 

 

 

1. Wanneer is sprake van een ‘verwerkingsverantwoordelijke’?
Een verwerkingsverantwoordelijke bepaalt het doel waarvoor en de middelen waarmee persoonsgegevens worden verwerkt.
Een organisatie is een gezamenlijke verwerkingsverantwoordelijke als zij samen met één of meer organisaties gezamenlijk bepaalt „waarom” en „hoe” persoonsgegevens moeten worden verwerkt.

Twee ondernemingen zijn gezamenlijke verwerkingsverantwoordelijken, als zij niet alleen eventueel ‘gecombineerde diensten’ aanbieden, maar ook een gemeenschappelijk digitaal platform ontwerpen en gebruiken.

Gezamenlijke verwerkingsverantwoordelijken moeten natuurlijk wel een regeling treffen waarin hun respectieve verantwoordelijkheden voor de naleving van de AVG-regels worden vastgelegd.
De belangrijkste aspecten van deze regeling moeten worden meegedeeld aan de personen wier gegevens worden verwerkt.

2. Wanneer is sprake van een ‘verwerker’?
Een verwerker verwerkt persoonsgegevens uitsluitend in opdracht van de verwerkingsverantwoordelijke. De verwerker is meestal een derde partij buiten de organisatie van de verwerkingsverantwoordelijke.

Voorwaarden
Er zijn twee centrale voorwaarden om verwerker te kunnen zijn:

• de verwerker is een aparte entiteit, die los van de verwerkingsverantwoordelijke staat, en
• de verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de verwerkingsverantwoordelijke.

Delegatie
Dit betekent dat de verwerker in het belang van iemand anders handelt in de zin van het juridische begrip “delegatie”.
In het kader van de wetgeving inzake gegevensbescherming dient een verwerker de instructies van de verwerkingsverantwoordelijke op te volgen, in ieder geval waar het gaat om het doel van de verwerking en de wezenlijke aspecten van de (geautomatiseerde) middelen.

3. Wanneer is een ‘verwerkingsovereenkomst’ verplicht?
De uitvoering van de verwerking door een verwerker dient te worden geregeld in een overeenkomst of een andere rechtshandeling, waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is. Deze overeenkomst omvat een nadere omschrijving van:

• het onderwerp,
• de duur van de verwerking,
• de aard,
• de doeleinden van de verwerking,
• het soort persoonsgegevens en
• de categorieën van betrokkenen.

Zo moet in de overeenkomst bijvoorbeeld worden aangegeven wat er met de persoonsgegevens gebeurt na beëindiging van de overeenkomst (exitregeling).
Een typische activiteit van verwerkers is het aanbieden van IT-oplossingen, waaronder cloudopslag.
De verwerker mag een deel van zijn taak enkel uitbesteden aan een andere verwerker, of een gezamenlijke verwerker aanwijzen, wanneer hij of zij vooraf schriftelijke toestemming van de verwerkingsverantwoordelijke heeft gekregen.

3.1 Verplichtingen verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke mag, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden. Dit, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van de AVG. Met name op het gebied van deskundigheid, betrouwbaarheid en middelen en de beveiliging van de verwerking. Het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan.

3.2 Verplichtingen verwerker
Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke, dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen (exitregeling), tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is de verplichting oplegt de persoonsgegevens op te slaan.

De volgende eisen moeten worden opgenomen in de verwerkingsovereenkomst [art. 28 lid 3 AVG]:

1. de verwerker verwerkt gegevens o.b.v. schriftelijke instructie van de verwerkingsverantwoordelijke;
2. de verwerker waarborgt vertrouwelijkheid omtrent de verwerking van persoonsgegevens;
3. de verwerker dient de voorschriften van art. 32 AVG (gegevensbeveiliging) op te volgen;
4. de verwerker moet subverwerkers laten voldoen aan 3. en 3. (back-to-back agreement)
5. de verwerker verleent bijstand aan de verwerkingsverantwoordelijke inzake verzoeken van betrokkenen;
6. de verwerker verleent bijstand aan de verwerkingsverantwoordelijke inzake diens verplichtingen;
7. een exitregeling inzake beëindiging verwerking;
8. het laten uitvoeren van audits door de verwerkingsverantwoordelijke bij de verwerker;
9. de verwerker stelt de verwerkingsverantwoordelijke in kennis ingeval een instructie inbreuk op persoonsgegevens oplevert.

 

4. Beleggen van verantwoordelijkheden

4.1 Transparantie
Voor de bescherming van de rechten en vrijheden van betrokkenen enerzijds, en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers anderzijds, is het noodzakelijk, dat de verantwoordingsplicht van de AVG op transparante wijze aan de betrokken partijen wordt toegewezen.

4.2 Opdracht
Vanuit dit oogpunt wordt de rechtmatigheid van de door de verwerker verrichte gegevensverwerking bepaald door de opdracht die hem daartoe door de verwerkingsverantwoordelijk is verstrekt.

Een verwerker die verder gaat dan zijn opdracht en een relevante rol krijgt bij het vaststellen van de doelen van, of de wezenlijke middelen voor de verwerking, is eerder een (gezamenlijke) verwerkingsverantwoordelijke dan een verwerker.

De rechtmatigheid van deze verwerking moet nog altijd worden getoetst aan andere artikelen (Bijv. de artt. 6 – 8 AVG).

4.3 Verwerker is tevens verwerkingsverantwoordelijke en vice versa
Het besluit van een verwerker om persoonsgegevens naast het doel waarvoor zij werden overgedragen nog voor een ander doel te gebruiken, maakt de verwerker voor deze verwerking een verwerkingsverantwoordelijke.

Er zijn situaties denkbaar waarin een organisatie een verwerkingsverantwoordelijke, of een verwerker, of beide kan zijn. Aldus de Europese Commissie.

Daaruit kan worden afgeleid, dat als het gaat om het leveren van maatwerk van een verwerkingsverantwoordelijke (1), op instructie van een andere verwerkingsverantwoordelijke (2), die uitsluitend zelf het doel en de middelen heeft vastgesteld van die specifieke verwerking, de verwerkingsverantwoordelijke (1) in deze opdrachtgever/opdrachtnemer relatie aangemerkt kan worden als een verwerker (3).
In dat geval is een verwerkingsovereenkomst noodzakelijk.

4.4 De verwerking an sich is leidend.
De Groep Gegevensbescherming, een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, erkent dat het moeilijk is om de definities van verwerkingsverantwoordelijke en verwerker toe te passen in een complexe omgeving, waarin vele scenario’s mogelijk zijn met voor de verwerkingsverantwoordelijken en verwerkers, alleen of gezamenlijk, met verschillende mates van autonomie en verantwoordelijkheid.

De groep benadrukt dan ook dat verantwoordelijkheden zodanig moeten worden belegd dat de naleving van de regelgeving met betrekking tot gegevensbescherming in de praktijk voldoende is gewaarborgd.

5. De nuance
Het gaat er niet zozeer om of een organisatie zich als (gezamenlijke) verwerkingsverantwoordelijke of als verwerker kwalificeert en of er al of niet sprake moet zijn van een verwerkingsovereenkomst.

In de contractuele afspraken tussen partijen, betreffende de verwerking  van persoonsgegevens, moet de gegevensbescherming van betrokkenen voldoende zijn gewaarborgd.

Daar gaat het om!

Artikel 28 lid 3 AVG helpt om deze verantwoordelijkheden voldoende te beleggen in een overeenkomst of andere rechtshandeling!

 

Referenties:

• Europese Commissie, ‘Wat is een verwerkingsverantwoordelijke of een verwerker?’ (https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_nl).
• Artikel 4, leden 7 en 8, artikelen 24, 26, 28, 29 en overwegingen 74, 79, 81 van de AVG
• Advies 01/2010 van de Groep Gegevensbescherming artikel 29 over de begrippen „voor de verwerking verantwoordelijke” en „verwerker” (WP 169).