Elke keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als je zonder deze gegevens je doel niet kunt bereiken. Je hebt dus een grondslag nodig om persoonsgegevens te mogen verwerken.
Stappenplan mkb grondslag bepalen
1 Bedenk waarom (voor welk doel) je persoonsgegevens wil verzamelen en gebruiken
Het doel moet van begin af aan duidelijk zijn. En het doel moet ook heel precies zijn.
Dus niet: ‘omdat de gegevens misschien ooit van pas komen’.
2 Ga na of het noodzakelijk is om voor dit doel gegevens te verzamelen
Elke keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Dus als je het doel niet kunt bereiken zonder persoonsgegevens.
3 Kijk of een van de AVG-grondslagen op de verwerking van toepassing is
Je moet een goede reden hebben om persoonsgegevens te mogen verwerken. In de AVG staan 6 redenen genoemd. De juridische naam voor die redenen is grondslagen. Je hebt dus een grondslag nodig om persoonsgegevens te mogen verwerken.
Grondslagen
Van de 6 grondslagen zijn er 4 belangrijk voor de mkb’er:
Uitvoering overeenkomst
De meest voorkomende grondslag voor de mkb’er zal zijn dat hij gegevens nodig heeft om een overeenkomst uit te voeren. Bijvoorbeeld om een aankoop van een klant af te handelen of een offerte op te stellen.
Wettelijke verplichting
Soms moet je persoonsgegevens verwerken omdat je dit wettelijk verplicht bent. Bijvoorbeeld: je moet gegevens verstrekken voor de uitvoering van de belastingwetgeving.
Toestemming
Je mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan je misschien denkt. Je hoeft dus zeker niet overal toestemming voor te vragen.
Gerechtvaardigd belang
Je mag persoonsgegevens verwerken als dat noodzakelijk is om het gerechtvaardigd belang te behartigen. Bijvoorbeeld als je fraude binnen het bedrijf wil bestrijden. Maar let op: je kunt je niet eenvoudig op deze grondslag beroepen.
4 Informeer de doelgroep
Je hebt de plicht om mensen te informeren over de verwerking van hun persoonsgegevens. Een praktische manier om mensen te informeren is een privacyverklaring op de website. Zet in deze verklaring op basis van welke grondslag je persoonsgegevens verwerkt. Zo weten de mensen van wie je gegevens verwerkt waarom je dit mag. En komen zij niet voor verrassingen te staan.
5 Voldoe aan de verantwoordingsplicht
Registreer de grondslag waarop je de verwerking baseert in het verwerkingsregister. Zorg er ook voor dat je kunt onderbouwen waarom deze grondslag op de verwerking van toepassing is. Zo voldoe je aan je verantwoordingsplicht.
Zie voor meer informatie over grondslagen het dossier ‘Mag je persoonsgegevens verwerken’ op autoriteitpersoonsgegevens.nl