Persoonsgegevens verwerken? Dan is toestemming niet altijd nodig.

toestemming

20 december 2017, leestijd 8 minuten.

Om rechtmatig persoonsgegevens te verwerken moet deze verwerking onder andere gebaseerd zijn op één van de wettelijke grondslagen. Vaak denkt men dat het verwerken van persoonsgegevens alleen mag als daarvoor toestemming is gevraagd. Toch is dat niet de enige en zeker ook niet altijd de handigste grond om een verwerking op te baseren! In deze blogpost zullen wij een andere verwerkingsgrond belichten: de verwerking ter uitvoering van een overeenkomst.

De verschillende wettelijke verwerkingsgronden

In de Algemene verordening gegevensbescherming (AVG of in het Engels GDPR) staan een aantal verwerkingsgronden waarop een verwerking gebaseerd mag worden. Deze zijn als volgt:

  1. Toestemming (zie hier een blogpost daarover);
  2. Noodzakelijk voor overeenkomst;
  3. Wettelijke verplichting;
  4. Gerechtvaardigd belang (zie hier een blogpost daarover);
  5. Vitaal belang;
  6. Taak van algemeen belang of openbaar gezag.

De eerste vier verwerkingsgronden zijn meestal het belangrijkst voor ondernemingen. Zoals hierboven aangegeven zijn in eerdere blogposts het gerechtvaardigd belang en toestemming reeds behandeld. Deze blog gaat over de contractuele noodzakelijkheid.

Verder is van belang de verwerking die noodzakelijk is ter uitvoering van een wettelijke verplichting. Je verwerkt dan gegevens omdat de wet je hiertoe verplicht. Hierbij kan je bijvoorbeeld denken aan de verplichting tot het bijhouden van een registratie in het kader van een vergunningsvoorschrift.

Wanneer is het verwerken van gegevens noodzakelijk ter uitvoering van een overeenkomst?

Verwerk je gegevens omdat deze nodig zijn om een overeenkomst te sluiten, of deze overeenkomst uit te voeren, dan hoef je hiervoor geen toestemming te vragen van de persoon wiens gegevens jij verwerkt (hierna: de betrokkene). Als eerste is het daarbij van belang dat je een overeenkomst hebt met de betrokkene. Dit kan bijvoorbeeld het geval zijn als je een webwinkel hebt en de betrokkene koopt producten via jouw website. Als men zich nog in de precontractuele fase bevindt kan deze verwerkingsgrond ook van toepassing zijn.

Belangrijk is dat een verwerking op basis van deze grondslag alleen dan geoorloofd is als de verwerking noodzakelijkis voor het sluiten of de uitvoering van een overeenkomst. Om daarachter te komen kan je jezelf de volgende vraag stellen: is het ook mogelijk om deze overeenkomst te sluiten/uit te voeren als ik niet over de betreffende persoonsgegevens beschik?

Voorbeeldsituaties

Een aantal voorbeeldsituaties waarin deze verwerkingsgrond van toepassing is:

  • Je hebt een webshop en een klant bestelt een product. Om dit product te kunnen leveren heb je de adresgegevens van deze klant nodig.
  • Je biedt als restaurant of hotel aan om een reserveringsbevestiging aan de klant te mailen. Daarvoor heb je zijn/haar e-mailadres nodig.
  • Je biedt een service aan met telefonisch advies. Een klant wil gebruik maken van deze service en daarvoor heb je zijn/haar telefoonnummer nodig.

Noodzakelijkheid is niet altijd gemakkelijk vast te stellen

Toch is het niet altijd zo eenvoudig als bovenstaande voorbeelden. Dat komt bijvoorbeeld in beeld bij het voordeelurenabonnement van NS op de persoonlijke OV-chipkaart.

Wanneer je een voordeelurenabonnement wilt afsluiten om te reizen met NS, dan moet je een gepersonaliseerde OV-chipkaart aanschaffen. Voor het aanschaffen van een gepersonaliseerde OV-chipkaart worden persoonsgegevens verwerkt. Het is ook mogelijk om een anonieme OV-chipkaart aan te schaffen, waar dus geen gegevens voor worden verwerkt. Met een anonieme OV-chipkaart kan je echter geen voordeelurenabonnement afsluiten.

De gegevensverwerkingen bij de gepersonaliseerde OV-chipkaart zijn volgens NS noodzakelijk ter uitvoering van de overeenkomst. Men kan zich echter afvragen of dat wel het geval is. Enerzijds kan gesteld worden dat de overeenkomst best gesloten kan worden zonder gegevens te verwerken. Het abonnement zou bijvoorbeeld op een anonieme OV-chipkaart geladen kunnen worden en kan dan ook maar op één kaart tegelijk geladen worden. Anderzijds is aan te voeren dat een voordeelurenabonnement op een anonieme OV-chipkaart door iedereen gebruikt zou kunnen worden: men kan de OV-chipkaart immers doorgeven aan anderen die vervolgens ook gebruik maken van het abonnement. Je kan dan natuurlijk niet tegelijk reizen, want je hebt maar één kaart met het abonnement.

Het kan zijn dat ik het mis heb, maar ik denk niet dat men deze OV-chipkaarten aan elkaar door zal geven en ik denk dus ook niet dat dit een sterk argument is om te stellen dat hier sprake is van noodzakelijkheid voor de overeenkomst.

De handhavende instantie op het gebied van privacy en gegevensbescherming in Nederland, de Autoriteit Persoonsgegevens, heeft in een onderzoek geoordeeld dat de verwerking uit de bovenstaande situatie wel rechtmatig was. De Afdeling Bestuursrechtspraak van de Raad van State oordeelde echter dat de Autoriteit Persoonsgegevens eigenlijk ook de alternatieve mogelijkheid in haar onderzoek had moeten betrekken, namelijk het laden van een voordeelabonnement op een anonieme OV-chipkaart.

Conclusie

Je hoeft lang niet altijd toestemming te vragen voor de verwerking van persoonsgegevens. Sterker nog, deze optie kan je het beste pas gebruiken als de andere verwerkingsgronden niet gebruikt kunnen worden. Toestemming kan bijvoorbeeld altijd weer ingetrokken worden door de betrokkene. Een van de andere wettelijke grondslagen is de contractuele noodzakelijkheid. Wanneer je dus gegevens nodig hebt om een overeenkomst met de klant te sluiten of uit te voeren, dan kan je een verwerking op deze grond baseren. Moet je dus bijvoorbeeld een pakketje opsturen naar een klant en heb je hiervoor zijn adresgegevens nodig, dan hoef je voor het verzamelen van deze gegevens in principe geen toestemming te vragen.

Wil jij weten of de werkwijze van jouw onderneming aan deze wetgeving voldoet? Of heb je vragen naar aanleiding van deze blogpost? Neem dan vrijblijvend contact met ons op via contact@dejuristen.legal


Deze bijdrage werd geschreven door student-stagiair Yves Witteman