Stel je voor: een bedrijf wil klantgegevens verwerken en weet niet goed welke rechtsgrond te kiezen. Om het zekere voor het onzekere te nemen, besluit men toestemming te vragen én tegelijkertijd een beroep te doen op het ‘gerechtvaardigd belang’. Zo lijkt het alsof er altijd wel een rechtsgrond overeind blijft, toch? Helaas, zo werkt de AVG niet.

Een recente uitspraak uit Nederland bevestigt wat wij al jaren adviseren: elke gegevensverwerking kan maar één rechtsgrond hebben. Toch zien we dat dit principe nog vaak wordt genegeerd. Hoog tijd om dit misverstand op te helderen.

“Waarom krijg ik deze e-mails?” Je hebt je contactgegevens nooit gegeven, en toch duiken er berichten op in je inbox van bedrijven die je hun product willen verkopen. Het voelt alsof iemand zonder toestemming in jouw LinkedIn-profiel heeft gekeken.

Dit is geen toeval, maar het gevolg van data scraping: een praktijk waarbij bedrijven persoonlijke informatie van sociale media verzamelen. Hoewel sommigen dit rechtvaardigen door te wijzen op de “publieke beschikbaarheid” van de gegevens, heeft de Franse privacytoezichthouder CNIL hier onlangs een stevige lijn in getrokken.

In deze blog ontdek je waarom deze uitspraak belangrijk is, wat dit betekent voor ondernemers, en waar je rekening mee moet houden om zelf compliant te blijven.