Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

De grondslag ‘gerechtvaardigd belang’: oplossing voor privacy horde

2 oktober 2019 Door

Veel organisaties zien de Algemene Verordening Gegevensbescherming (AVG) als een horde. Een blok aan het been, dat van alles en nog wat verbiedt, en innovatieve ideeën in de weg staat. “Dat zal wel niet mogen van de AVG” is een veelgehoorde uitspraak. Klopt deze uitspraak? Nee. De AVG laat veel toe, mits je goed uitlegt wat je aan het doen bent. Deze verantwoordingsplicht loopt als een rode draad door de AVG heen. Dit zie je ook terug bij de grondslagen voor het verwerken van persoonsgegevens, en dan met name de grondslag gerechtvaardigd belang. Als organisatie moet je een grondslag hebben om persoonsgegevens te verwerken. De grondslag “gerechtvaardigd belang” kan in bepaalde gevallen een passend alternatief zijn voor ongeschikt gebruik van, bijvoorbeeld, de grond “toestemming” of “de uitvoering van een overeenkomst”, mits je verantwoording aflegt met een driestappentoets. Hoe werkt dat nu precies met zo’n gerechtvaardigd belang?

Verantwoording afleggen met een driestappentoets

Het recht op privacy van de betrokkene is niet absoluut. Dat betekent dat andere rechten zwaarder kunnen wegen, wanneer die botsen met dit recht. De AVG noemt bijvoorbeeld expliciet dat in sommige gevallen het recht op ondernemerschap zwaarder kan wegen dan het recht op privacy van de betrokkene. Een beroep op de grondslag gerechtvaardigd belang kan uitkomst bieden in het geval je als organisatie meent een belang te hebben bij een verwerking van persoonsgegevens. Om gebruik te kunnen maken van de grondslag gerechtvaardigd belang dien je een zorgvuldige – schriftelijke – belangenafweging te maken. Daarbij dient te worden afgewogen of het belang van de organisatie (of van een derde), zwaarder weegt dan het privacybelang van de betrokkene. Om deze belangenafweging te maken dient een driestappentoets te worden doorlopen:

  • Heb je een gerechtvaardigd belang?
  • Is de voorgenomen verwerking van persoonsgegevens noodzakelijk om het doel te bereiken?
  • Weegt het belang van jouw organisatie (of een derde) zwaarder dan het privacybelang van de betrokkene?

 Stap 1: heb je een gerechtvaardigd belang?

Hoewel het redelijk voor zich spreekt dien je als organisatie (of een derde) ook daadwerkelijk een gerechtvaardigd belang te hebben. Met andere woorden, de verwerking van persoonsgegevens moet een bepaalde “waarde” voor de organisatie of een derde hebben.  Deze waarde dien je als organisatie duidelijk te verwoorden. Denk aan beveiliging, het aanpakken van fraude en/of commerciële waarde. In een eerdere blog schreven wij over een zaak waarin een werkgever een gerechtvaardigd belang had om een onderzoeksbureau in te schakelen, nadat er een melding was ontvangen van ongewenst gedrag op de werkvloer. De werkgever had er een bepaald belang bij dat het ongewenste gedrag werd onderzocht.

Stap 2: noodzakelijk?

Het verwerken van persoonsgegevens dient noodzakelijk te zijn om het doel te bereiken. In juridische taal ook wel de proportionaliteit- en subsidiariteitstoets genoemd. Proportionaliteit betekent dat de verwerking in verhouding moet staan tot het te bereiken doel. Daarbij is met name belangrijk om na te gaan of het verwerken van persoonsgegevens een bijdrage levert om dat doel te bereiken. Ook dienen er zo min mogelijk persoonsgegevens te worden verwerkt. Kan je het doel ook bereiken met minder persoonsgegevens? Als je bijvoorbeeld ongewenst internetgebruik van werknemers wil gaan controleren, dan mag je dit niet constant doen. Het doel kan namelijk ook worden bereikt als je steekproefsgewijs en periodiek gaat controleren.

Subsidiariteit houdt in dat het doel niet op een andere manier kan worden bereikt die minder ingrijpt in de privacy van werknemers. Er mogen dus geen andere minder zware middelen zijn waarmee het doel kan worden bereikt. In een eerdere blog schreven wij over het gebruik van een‘vingerscan-autorisatiesysteem’ bij schoenenketen Manfield. In het kader van noodzakelijkheid oordeelde de kantonrechter dat alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende waren onderzocht.

Stap 3: belangenafweging

De laatste stap is het maken van een belangenafweging tussen de belangen van jouw organisatie (of een derde) en het privacybelang van de betrokkene. In dat kader dient onder andere de gevoeligheid van de gegevens te worden meegenomen. Indien het gaat om medische of financiële gegevens dan zal de belangenafweging minder snel in jouw voordeel uitvallen, dan wanneer er enkel contactgegevens worden verwerkt. Maar denk ook aan de doelgroep. Het verwerken van persoonsgegevens van kinderen (kwetsbare groep) zal lastiger zijn dan het verwerken van persoonsgegevens van professionele dienstverleners, omdat het belang van kinderen zwaar weegt. Verder speelt de verwachting van de betrokkene een rol. Mag de betrokkene verwachten dat zijn persoonsgegevens worden verwerkt? Als organisatie kun je maatregelen nemen om de belangenafweging eerder in jouw voordeel te laten uitvallen. Denk aan maatregelen zoals (1) het op de juiste wijze informeren over de verwerking van hun persoonsgegevens; (2) de persoonsgegevens niet inzetten voor andere doeleinden; (3) de persoonsgegevens zo snel mogelijk op een veilige manier verwijderen; (4) een onvoorwaardelijk recht van bezwaar aanbieden aan betrokkenen; en (5) het nemen van een passende beveiligingsmaatregel.

Jay Remmelzwaal

Juridisch adviseur

Jay Remmelzwaal werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht houdt Jay zich voornamelijk bezig met allerlei juridische aspecten rondom privacy en arbeidsrecht. Jay ondersteunt dagelijks diverse organisaties: van eenmanszaken en mkb’ers tot grote internationale organisaties.

 


Er zijn 2 reacties

  1. Interessante uitwerking die steeds vaker wordt gebruikt als ‘escape’ om te verklaren dat bedrijven gegevens van personen mogen verwerken, waarbij vaak ook de hier gebezigde termen als “waarde” voor de organisatie of een derde worden gebruikt met als voorbeeld beveiliging, het aanpakken van fraude en/of commerciële waarde. Maar wat geeft de AP aan: “Als het maar gaat om een belang waarvan we in de maatschappij hebben gevonden dat het door het recht beschermd moet worden.
    Let op: wat niet kwalificeert als gerechtvaardigd belang, is bijvoorbeeld: een puur commercieel belang, winstmaximalisatie,
    het gedrag van werknemers volgen zonder legitieme reden,
    het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.” Ik zie nogal een gat tussen uw voorbeelden en genoemde “Let op” van de AP. Het lijkt dan ook dat gerechtvaardigd belang sterk aan het devalueren is om dat vervolgens maar gechallenged te krijgen in een rechtzaak.

    1. Beste Jan,
      Dat klopt, de Autoriteit Persoonsgegevens legt uit dat een gerechtvaardigd belang een belang is waarvan we in de maatschappij hebben gevonden dat het door het recht beschermd moet worden. De vrijheid van ondernemerschap is op zichzelf een belang dat in het recht is opgenomen. Wanneer het recht op privacy botst met een ander recht, zoals de vrijheid van ondernemerschap, zal er altijd een afweging plaats moeten vinden. Die afweging vindt plaats via de driestappentoets zoals omschreven in de blog.

      De grens tussen een gerechtvaardigd commercieel belang en een belang dat “puur commercieel” is, is een van de onduidelijkere aspecten van de AVG. De AVG geeft bijvoorbeeld in de preambule aan dat “de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang”, en de Autoriteit Persoonsgegevens noemt bijvoorbeeld ook het belang om “bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten” als een belang dat kwalificeert als gerechtvaardigd. Het is voor nu dus nog aan de praktijk om hier een balans in te vinden.

      Uiteraard heeft de rechter het laatste woord. Wanneer er op nationaal of Europees niveau een uitspraak wordt gedaan over de reikwijdte van het begrip van het gerechtvaardigd belang zal daar dan ook zeker aandacht aan worden besteed op onze website, dus hou hem in de gaten!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie