AVG en rechtsgronden: waarom je niet op twee paarden kunt wedden

Data Protection
Geschreven door Caroline D'hont

Stel je voor: een bedrijf wil klantgegevens verwerken en weet niet goed welke rechtsgrond te kiezen. Om het zekere voor het onzekere te nemen, besluit men toestemming te vragen én tegelijkertijd een beroep te doen op het ‘gerechtvaardigd belang’. Zo lijkt het alsof er altijd wel een rechtsgrond overeind blijft, toch? Helaas, zo werkt de AVG niet.

Een recente uitspraak uit Nederland bevestigt wat wij al jaren adviseren: elke gegevensverwerking kan maar één rechtsgrond hebben. Toch zien we dat dit principe nog vaak wordt genegeerd. Hoog tijd om dit misverstand op te helderen.

Elke verwerking maar één rechtsgrond: wat zegt de AVG?

De Algemene Verordening Gegevensbescherming (AVG) bepaalt in artikel 6, lid 1 dat een verwerking van persoonsgegevens alleen rechtmatig is als er een van de zes mogelijke rechtsgronden van toepassing is. Deze zijn:

1.         Toestemming van de betrokkene

2.         Noodzakelijk voor de uitvoering van een overeenkomst

3.         Noodzakelijk om te voldoen aan een wettelijke verplichting

4.         Noodzakelijk om vitale belangen van een persoon te beschermen

5.         Noodzakelijk voor een taak van algemeen belang of openbaar gezag

6.         Noodzakelijk voor een gerechtvaardigd belang

Deze grondslagen zijn niet willekeurig, maar hebben elk hun eigen juridische voorwaarden. Een bedrijf moet per verwerking zorgvuldig kiezen welke rechtsgrond passend is.

Een veelvoorkomende fout is echter dat organisaties zich op meerdere rechtsgronden tegelijk beroepen voor dezelfde verwerking. Dit lijkt misschien een slimme manier om risico’s te vermijden, maar het is juridisch incorrect.

Nederlandse uitspraak: rechtsgrond ‘shoppen’ mag niet

In een recente zaak oordeelde het Gerechtshof in Arnhem-Leeuwarden dat een organisatie ten onrechte twee rechtsgronden gebruikte: toestemming en gerechtvaardigd belang. De privacyverklaring van de organisatie gaf aan dat zij zich op beide beriep. Het Hof was echter duidelijk:

“Deze dubbele grondslag is in strijd met het systeem van de AVG waar in artikel 7 lid 3 is bepaald dat toestemming vrijelijk moet kunnen worden gegeven en ingetrokken.”

Waarom is dat problematisch? Omdat het gerechtvaardigd belang impliceert dat een organisatie een gegevensverwerking zonder actieve instemming mag uitvoeren, terwijl toestemming juist volledig vrijwillig en herroepbaar moet zijn. De twee sluiten elkaar dus uit.

Dezelfde redenering geldt voor andere combinaties, zoals:

  • Wettelijke verplichting (6.1.c) vs. gerechtvaardigd belang (6.1.f): Als een organisatie wettelijk verplicht is om gegevens te verwerken, dan is er geen ruimte meer voor een belangenafweging zoals bij een gerechtvaardigd belang.

  • Uitvoering van een overeenkomst (6.1.b) vs. toestemming (6.1.a): Als een verwerking noodzakelijk is om een contract uit te voeren, is toestemming overbodig en niet vrijelijk gegeven.

De rechter bevestigt dus een fundamenteel punt: voor één specifieke verwerking moet altijd één duidelijke rechtsgrond worden gekozen.

Waarom kiezen organisaties tóch meerdere rechtsgronden?

Waarom zien we dan nog steeds dat bedrijven meerdere rechtsgronden combineren? Dit heeft waarschijnlijk te maken met onzekerheid en angst voor sancties. Adviseurs die minder goed thuis zijn in de AVG hanteren soms de aanpak: “Met hagel schieten en hopen dat er iets raakt.”

In de praktijk leidt dit echter niet tot meer juridische zekerheid, maar juist tot grotere risico’s. Wanneer een organisatie onduidelijk is over de gebruikte rechtsgrond, zal een toezichthouder dit sneller als een gebrek aan helderheid en naleving zien. Dit kan leiden tot boetes of verplichte aanpassingen in het verwerkingsbeleid.

Een betere aanpak is om vóór de verwerking een grondige analyse te doen:

  • Wat is het doel van de verwerking?

  • Welke rechtsgrond past hier logisch bij?

  • Is de gekozen rechtsgrond houdbaar onder de AVG?

Een helder beleid voorkomt juridische problemen én zorgt voor transparantie naar betrokkenen.

Wat betekent dit voor jouw onderneming?

Wil je als organisatie AVG-proof blijven? Zorg er dan voor dat je voor elke verwerking één passende rechtsgrond kiest en deze consequent toepast. Een paar belangrijke takeaways:

  • Toestemming en gerechtvaardigd belang kunnen niet samengaan. Als je toestemming vraagt, mag je je niet tegelijkertijd beroepen op een gerechtvaardigd belang.

  • Wettelijke verplichtingen en gerechtvaardigd belang sluiten elkaar uit. Als de wet iets verplicht, is een belangenafweging overbodig.

  • Maak een duidelijke keuze vooraf. Bepaal per verwerking zorgvuldig de juiste rechtsgrond en wees hierover transparant in je privacyverklaring.

  • Voorkom AVG-boetes. Toezichthouders kijken kritisch naar bedrijven die onduidelijk zijn over hun rechtsgronden.

Bij consey(.legal) helpen we organisaties om hun AVG-compliance op orde te brengen, zonder onnodige risico’s. Twijfel je over de juiste rechtsgrond? Wij zorgen voor een helder en juridisch sluitend advies. Neem contact op via hallo@consey.legal en zorg dat jouw organisatie AVG-proof blijft!

Geschreven door Caroline D’hont, Data Protection Expert consey(.legal) en Kris Seyen, Founder & Managing Partner consey(.legal)

Caroline D'hont
Volgende

Jouw stem, jouw data!