AVG compliance: hoe ver kun je gaan zonder toestemming (6/20)

De Algemene Verordening Gegevensbescherming of AVG (zeg maar de nieuwe Europese privacywet) stelt strenge regels aan de omgang met persoonsgegevens. Een belangrijke eis bij het voldoen aan die regels is een grondslag te hebben voor de verwerking. Toestemming, een wettelijke verplichting of een contractuele rechtvaardiging zijn grondslagen, maar wat nu als u die niet heeft? Dan rest u nog één mogelijkheid, en dat is aantonen dat u een eigen gerechtvaardigd belang heeft dat zwaarder weegt dan de privacy van de betrokken personen.

Een bekend voorbeeld van een eigen gerechtvaardigd belang is het cameratoezicht. Beveiligen van uw pand, goederen of mensen is immers een duidelijk en legitiem belang. Echter, het raakt ook de privacy van mensen die u filmt. Daarom is de kern van een beroep op deze grondslag een belangenafweging: waarom weegt uw belang zwaarder, en wat kunt u doen om de privacyzorgen tegemoet te komen?

Bij cameratoezicht kunt u bijvoorbeeld kiezen voor afschermen van de beelden voor alleen beveiligingspersoneel en Justitie, deze wekelijks bekijken en daarna wissen, en een duidelijk bordje ophangen zodat iedereen weet dat hij wordt gefilmd. Een andere optie om privacyzorgen te verminderen is een afmeld- oftewel opt-out-mogelijkheid: mensen kunnen dan op verzoek gevrijwaard blijven van deze verwerking. Bij cameratoezicht niet zo handig, maar bijvoorbeeld bij direct marketing wel voor de hand liggend.

Ook direct marketing, inclusief het maken van profielen, kan onder deze grondslag worden gerechtvaardigd. De AVG zegt namelijk expliciet dat dit in beginsel als legitiem belang te zien is. Maar vanwege de specifieke aard van deze activiteiten moet u wel goed stilstaan bij privacyzorgen. Mensen moeten inzicht kunnen krijgen in wat er gebeurt, inclusief eventuele geautomatiseerde beslissingen die u neemt met die profielen. Dit moet dus in de privacyverklaring (komt in deel 9 aan bod) terug te lezen zijn.

Wanneer uw verwerking gebaseerd is op deze grondslag, moet de belangenafweging op papier zijn gezet. U documenteert dit in het verwerkingsregister (deel 8). En let op: als mensen het hier niet mee eens zijn, kunnen zij bezwaar maken op grond van specifieke persoonlijke omstandigheden. U moet dan de belangenafweging herhalen met dit bezwaar in het achterhoofd, en zo mogelijk het bezwaar honoreren.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.