Universiteit Leiden

nl en

AVG (deel 3 van 5): Grondslagen voor verwerkingen & Toestemming.

In het tweede deel van deze reeks is er ingegaan op de Do’s, Don’ts en alternatieven die komen kijken bij het verantwoord omgaan met persoonsgegevens. De belangrijkste boodschap was dat simpele routines hieraan kunnen bijdragen en dat het gebruik van programma’s waar de universiteit geen verwerkersovereenkomst mee heeft afgesloten, onrechtmatig is onder de AVG per 25 mei. Dit deel zal ingaan op twee belangrijke en veelbesproken aspecten van de AVG, namelijk: ‘Grondslagen voor verwerkingen en Toestemming’.

Gebruik van persoonsgegevens

Het kunnen en mogen gebruiken van persoonsgegevens is afhankelijk van de grondslag waarvoor deze zijn opgevraagd en/of gebruikt zullen worden. De grondslag is dan ook nauw verbonden met het kerndoel van de verwerking. Het is belangrijk dat de verwerking niet afwijkt van het initiële kerndoel (ook niet in een later stadium). De AVG beschrijft zes grondslagen, en verwerkingen moeten op één daarvan berusten. Indien een verwerking berust op één van de zes grondslagen, dan is er dus geen verplichting om eveneens te voldoen aan de voorwaarden van de andere grondslagen.

Belangrijk voor onderzoekers: om na te gaan bij welke onderzoeken er eventueel risico’s in de opslag en verwerking van persoonsgegevens bestaan, ontvangen alle onderzoekers binnenkort een online Qualtrics enquête om dit in kaart te brengen. Op basis van die enquête, maar natuurlijk ook op initiatief van onderzoekers zelf, kan vervolgens actie worden ondernomen deze risico’s weg te nemen.

De grondslagen zullen hieronder kort beschreven worden:

De verwerking is noodzakelijk voor de uitvoering van een overeenkomst

Het verwerken van persoonsgegevens voor de uitvoering van een overeenkomst of contract is een grondslag waarop een verwerking kan berusten. Een goed voorbeeld hiervan is een overeenkomst in de vorm van een arbeidscontract. Om lonen uit te kunnen betalen heeft de werkgever de bankrekeningnummers nodig van haar werknemers. Hierdoor is het rechtmatig dat de werkgever de bankrekeningnummers gebruikt om de overeenkomst uit te kunnen voeren. Hetzelfde geldt voor bijvoorbeeld online aankopen, waar je als consument een overeenkomst aangaat met een verkoper voor het aanschaffen van een product. Naast het bankrekeningnummers heeft de verkoper ook de adresgegevens van de consument nodig om het product op te kunnen sturen. De reikwijdte van deze grondslag is daarom zeer breed. Het verwerken van persoonsgegevens van studenten valt onder deze grondslag. Universiteit en student hebben een onderwijsovereenkomst, waaronder studenten hun persoonsgegevens opgeven om aan te kunnen tonen dat zij in aanmerking komen voor een opleiding, woonachtig zijn in het binnen-/buitenland en om het collegegeld af te laten schrijven door de universiteit.

De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting

Deze grondslag spreekt grotendeels voor zich. Een voorbeeld van een dergelijke wettelijke verplichting is het bieden van een extra-curriculair programma aan uitzonderlijke studenten binnen de universiteit (Honours College). Om aan deze wettelijke verplichting te kunnen voldoen, is het voor de universiteit noodzakelijk om op basis van de behaalde studieresultaten een selectie te maken van de studenten die hiervoor in aanmerking komen en deze te benaderen. Dit geeft de universiteit het recht om deze gegevens te verwerken om invulling te geven aan deze wettelijke verplichting. Een andere wettelijke verplichting voor de universiteit is het bewaren van behaalde studieresultaten en diploma’s voor een bepaalde termijn na het afstuderen of uitschrijven. De verwerking van persoonsgegevens die nodig zijn voor het nakomen van deze verplichtingen kunnen dus daarom als rechtmatig worden geacht.

De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen

Deze grondslag heeft voornamelijk betrekking op medische persoonsgegevens van natuurlijke personen. Medische dossiers van patiënten kunnen onder deze grondslag daarom worden verwerkt en gedeeld tussen artsen, omdat het de vitale belangen van de betrokken personen beschermt. De invulling van deze grondslag is echter veel ingewikkelder dan bij de andere grondslagen, omdat er vaak bijzondere persoonsgegevens bij betrokken zijn. Neem daarom altijd contact op het Centre for Digital Scholarship voor advies op bij je onderzoeksvraag.

De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen

Deze grondslag heeft betrekking op organisaties die een publieke taak uitoefenen voor het algemeen belang of openbaar gezag. Tevens gaat het hier om taken die wettelijk zijn vastgelegd en relevant zijn voor de universiteit. Organisaties die het dichtst bij deze grondslag staan zijn bijvoorbeeld de politie of gemeenten. Het algemeen belang kan echter ook breder geïnterpreteerd worden. Zo geeft de Autoriteit Persoonsgegevens aan dat onderzoek naar ontwikkelingssamenwerking ook het algemeen belang kan dienen en daarmee ook op deze grondslag kan berusten.

De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde

Het gerechtvaardigd belang is de afweging tussen de relevante en passende verhoudingen van de organisatie en de betrokkenen wier persoonsgegevens worden verwerkt. Een voorbeeld van een gerechtvaardigd belang is het verwerken van persoonsgegevens voor direct marketing door de organisatie. De voorwaarden voor deze grondslag zijn dat de organisatie een gerechtvaardigd belang heeft, de verwerking noodzakelijk is om dit belang te behartigen en de organisatie een afweging heeft gemaakt tussen de belangen van de organisatie en de betrokkenen. Organisaties die krachtens publiekrecht zijn ingesteld, worden in de AVG uitgezonderd om beroep te kunnen doen op deze grondslag. De taken van publieke organisaties zijn namelijk vastgelegd bij wet. Deze uitzondering geldt daarmee ook voor Universiteit Leiden, omdat de universiteit in de Algemene Wet Bestuursrecht (art. 1:1) is vastgelegd als een publiekrechtelijke organisatie.

Bij taken die niet zijn vastgelegd in de wet kan de universiteit zich wél beroepen op deze grondslag. Het behouden van alumnirelaties is bijvoorbeeld een gerechtvaardigd belang van de universiteit om persoonsgegevens van haar alumni te gebruiken om de relaties te onderhouden.

De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden

Hieronder zal er uitgebreider ingegaan worden op de laatste voorwaarde, namelijk toestemming.

Toestemming
Indien de bovenstaande grondslagen niet toegepast kunnen worden op de rechtmatigheid van de verwerking, dient er uitdrukkelijk toestemming gevraagd te worden aan de betrokkene voor het gebruik van diens persoonsgegevens. Het is een veelvoorkomend fenomeen dat bij het registreren van een account of bij een simpele aanmelding de betrokkene passief akkoord gaat met het gebruik van diens persoonsgegevens door de organisatie voor marketingdoeleinden en het ontvangen van reclame/nieuwsbrieven. Met de AVG is dit straks verboden. De betrokkene moet actief (dus niet vooraf aangevinkt) toestemming geven die in uitdrukkelijke en ondubbelzinnige vorm is geschreven. Waarvoor (het doel) en hoe lang (bewaringstermijn) de persoonsgegevens gebruikt zullen worden, dienen ook aangegeven te worden.

Naast het uitdrukkelijk vragen van toestemming, moet deze ook bewaard worden en op verzoek aangetoond kunnen worden. Het is dus straks verplicht om de gegeven toestemming te archiveren om een rechtmatig gebruik van persoonsgegevens aan te kunnen tonen wanneer hiernaar gevraagd wordt.

Bewaringstermijn

Een laatste relevant aspect in relatie tot de grondslagen en het verkrijgen van toestemming is de bewaringstermijn van persoonsgegevens. Bij het opvragen van toestemming dient aangegeven te worden hoelang de gegevens bewaard en gebruikt zullen worden voor de vermelde doeleinden. Na het verstrijken van deze termijn dienen deze persoonsgegevens ook daadwerkelijk vernietigd te worden. Bij een tussentijdse wijziging in de doeleinden of verlengingen van bewaringstermijnen dient de verwerker altijd opnieuw toestemming te vragen aan de betrokkenen.

Volgende week

Met het behandelen van de grondslagen en het verkrijgen van toestemming voor het verwerken van persoonsgegevens zijn de inhoudelijk meest relevante aspecten van de AVG aan bod gekomen. Volgende week zullen deze aspecten samengevat worden en de laatste puntjes op de ‘i’ gezet worden. 

FGGA medewerkers
Heb je vragen over de AVG of ben je te ongeduldig om te wachten tot volgende week? Kijk dan op de site van de universiteit voor meer informatie of mail je vraag naar avg@fgga.leidenuniv.nl!

Deze website maakt gebruik van cookies. Meer informatie