Op 3 september 2019 publiceerde ik op Linkedin een blog hoe je in 3 stappen de grondslag Gerechtvaardigd belang kan gebruiken. Gezien de recente uitspraak van het EU-Hof is deze blog weer actueler dan ooit.
In mijn vorige blog hield ik een pleidooi om Toestemming niet te snel als grondslag voor het verwerken van persoonsgegevens te gebruiken. Toestemming is een bewerkelijke grondslag: je moet toestemmingen vragen, die moet je administreren, mensen kunnen hun toestemming voor het verwerken van hun gegevens weer in trekken. Kortom, deze grondslag brengt een hoop werk met zich mee.Gerechtvaardigd Belang is vaak een efficiëntere keuze als het gaat om het vinden van een basis voor het verwerken van persoonlijke gegevens.
Uit de reacties op mijn blog bleek dat Gerechtvaardigd Belang als grondslag als lastig ervaren wordt, daarom wordt vaak naar Toestemming gegrepen.
Natuurlijk, je kunt niet zo maar stellen een Gerechtvaardigd Belang te hebben om gegevens te verwerken. Je moet wel een aantal afwegingen maken om deze grondslag te gebruiken. Hieronder beschrijf ik in 3 overzichtelijke stappen de afwegingen die je moet maken.
Stap 1 Is je belang gerechtvaardigd?
Ten eerste: maak een afweging of je belang wel gerechtvaardigd is. Als bedrijf heb je er belang bij om persoonsgegevens te verzamelen, bijvoorbeeld om je database te optimaliseren voor je marketing of je klantenservice te verbeteren. Dat is allemaal in jouw belang, maar daarmee is het nog geen Gerechtvaardigd Belang.
Een belang is gerechtvaardigd als het aan de volgende eisen voldoet:
- Je moet het belang specifiek en duidelijk verwoorden. Geen vage pietpraat maar een concreet belang. Een mooi voorbeeld kwam ik laatst tegen in het privacy reglement van de Stichting Schoonmaak Kwaliteit.
“Het gerechtvaardigd belang bestaat mede uit het feit dat contact met stakeholders en ondernemingen werkzaam in de sector cruciaal is bij het vergaren en delen van kennis en standpunten, wat noodzakelijk is bij het bevorderen van de belangen van de sector en deelnemers zoals bedoeld in de statuten”.
Hier wordt duidelijk verteld waarom het belang deze stichting gerechtvaardigd is.
- Je moet het belang NU hebben en de grondslag mag niet gebruikt worden voor een belang dat er wellicht in de toekomst zal zijn. Bijvoorbeeld het nu vast verzamelen van e-mail adressen omdat je in de toekomst wellicht een nieuwbrief wil gaan versturen.
- Als laatste: je belang mag natuurlijk niet illegaal zijn. Het moet wel binnen de wet passen.
- Is het nodig de persoonsgegevens te verzamelen?
Als je vast hebt gesteld dat je een Gerechtvaardigd Belang hebt, dan maak je de afweging of het voor het behartigen van dat belang noodzakelijk is om die persoonsgegevens te verzamelen. Dit heet het subsidiariteitsbeginsel: is er geen andere manier om je belang te behartigen zonder dat je daar persoonsgegevens bij vastlegt?
Om maar even bij het voorbeeld van de schoonmaak stichting te blijven: kunnen ze de belangen van de sector ook behartigen zonder daarbij persoonsgegevens vast te leggen. Je moet dus aantoonbaar maken dat je na hebt gedacht of er mogelijkheden zijn om je belangen te behartigen op een manier waarop geen persoonsgegevens worden vastgelegd.
- Weegt mijn belang op tegen die van degene van wie gegevens worden vastgelegd.
Als je hebt vastgesteld dat je belang rechtvaardigt dat je persoonsgegevens vastlegt en dat je dit op geen andere manier kunt behartigen dan door het verwerken van persoonsgegevens, dan maak je de laatste afweging.
Dit is het proportionaliteitsbeginsel. Weegt jouw belang zwaarder dan het (grond) recht en de vrijheid van de persoon van wie je gegevens vastlegt. Voor deze afweging geldt een eenvoudige vuistregel: “kan een betrokkene, degene van wie de gegevens vast worden verwerkt, redelijkerwijs verwachten dat de gegevens voor het omschreven doel worden verwerkt”.
Of kort gezegd: mag elk redelijk denkend mens de verwerking verwachten in het licht van de specifieke omstandigheden.
Ook deze afweging moet je net als de vorige stappen weer documenteren: leg de afwegingen en argumentatie daarom vast.
Beschrijf en communiceer je Gerechtvaardigd Belang
Als je hebt vastgesteld dat je Gerechtvaardigd Belang als grondslag kunt gebruiken dan moet je dat wel communiceren. In je privacyreglement vermeld je dat je Gerechtvaardigd Belang als grondslag gebruikt en je beschrijft concreet het belang dat je daar bij hebt.
Legitimate Interest Asessment: geen “one size fits all
Bovenstaande is een vrij eenvoudig 3 stappenplan voor het maken van de afwegingen die horen bij het gebruik van Gerechtvaardigd Belang.
Bij sommige verwerkingen of omstandigheden kan het zinnig zijn om een uitgebreidere motivatie van de afwegingen te maken. De Engelse toezichthouder heeft een zogenaamde Legitimate Intrest Assessment, een LIA, ontwikkeld.
Hoewel het uitvoeren van een dergelijk assesment geen verplichting is van de AVG kan het in specifieke situaties nuttig zijn een LIA uit te voeren. Wanneer en tot op welk detailniveau is afhankelijk van de specifieke situatie. Ook met dit assessment is er dus geen “one size fits all” benadering.