GDPR (10) Toestemming of gewettigd belang?

13 oktober 2017

We hebben in de vorige afleveringen de verschillende mogelijke rechtsgronden voor het verwerken van persoonsgegevens voorgesteld. In een aantal gevallen kunnen meerdere rechtsgronden ingeroepen worden. Maar hoe kies je de beste grond om je verwerking te verantwoorden?

Deze vraag is minder gemakkelijk te beantwoorden dan het misschien lijkt. En toch is het belangrijk hierbij stil te blijven staan, want er zijn wel degelijk gevolgen verbonden aan de keuze. De ene rechtsgrond geeft je op lange termijn meer zekerheid dan de andere. Maar omschakelen tussen meerdere mogelijkheden schept dan weer verwarring en kan de indruk wekken dat je de betrokkenen wil misleiden.

Zolang het over gegevens gaat die verwerkt worden om een contract uit te voeren (zoals bijvoorbeeld contactgegevens voor orders, leveringen of serviceverlening en facturatie) of in het kader van wettelijke verplichtingen, hoef je niet te twijfelen. De keuze maken tussen toestemming van de betrokkene of het inroepen van gewettigd belang is echter een stuk moeilijker.

Toestemming van de betrokkenen vragen lijkt altijd een goede optie, maar dit brengt ook risico’s met zich mee. Als je toestemming vraagt en je krijgt die niet, dan mag je de gegevens uiteraard niet meer verwerken. Stel dat je iedere persoon in een bestand voor een marketingcampagne aanschrijft of mailt en hen vraagt hun expliciete toestemming te geven om hen in de toekomst te contacteren. De respons op dergelijke actie ligt misschien rond de 10 %. Het gevolg is dan dat je het overgrote deel van je contacten niet meer mag gebruiken.

In alle gevallen waar je kunt aantonen dat je die toestemming wel degelijk hebt gekregen, zit je natuurlijk veilig. Je creëert op die manier ook een goed imago, door open te communiceren over je intenties en rekening te houden met de voorkeur van je contactpersonen. Maar het hindert wel de ruime verspreiding van je campagnes en maakt het erg moeilijk om nieuwe bestemmelingen toe te voegen. Tenslotte bestaat ook altijd de kans dat een betrokkene later nog op zijn beslissing terugkomt en zijn goedkeuring intrekt, waardoor de contactenbasis nog verder afbrokkelt.

Welke alternatieven heb je dan? Je kan altijd het gewettigd belang van je organisatie als rechtsgrond inroepen. Een commerciële organisatie – om hetzelfde voorbeeld van de marketingcampagnes te nemen – kan immers niet functioneren zonder de mogelijkheid haar producten of diensten voor te stellen en aan te prijzen. Zoals eerder al vermeld, moet je dan je dossier met zorg opbouwen. Beperk om te beginnen de te verwerken gegevens tot wat strikt noodzakelijk is. Met minder informatie is de kans op een ernstige schending van de privacy automatisch kleiner. Een bestand met louter contactgegevens is uiteraard minder kritisch dan een grote verzameling data die deels gevoelig zijn.

Neem vervolgens alle nodige maatregelen om deze gegevens goed te beschermen en de vertrouwelijkheid te verzekeren. Toon aan dat de verzamelde gegevens niet voor een ander doel gebruikt kunnen worden. Op die manier bewaar je het evenwicht tussen de belangen van de betrokkenen en die van je eigen organisatie. De argumentatie die je volgt, leg je best beknopt (of omstandiger) vast in je register. Bij mogelijke betwistingen later kan je dan altijd aantonen dat je te goeder trouw handelt en dat je de juiste overwegingen hebt gemaakt.

Geen van deze maatregelen voorkomt echter dat gewettigd belang als rechtsgrond altijd kan aangevochten worden. Een betrokkene die zich onrechtmatig behandeld voelt of een concurrent die vindt dat je er oneerlijke praktijken op nahoudt, kan een klacht indienen bij de Privacy Commissie. Dit kan leiden tot een onderzoek en eventueel een rechtszaak. Wat het resultaat hiervan zal zijn, hangt dan af van de interpretatie van de concrete feiten door de auditors of de rechter en die kan uiteraard anders zijn dan je eigen inschattingen. Een afwijkende uitspraak kan ertoe leiden dat je een boete krijgt, de verwerking niet mag verderzetten en mogelijk een schadevergoeding moet betalen. Bij het bepalen van de uitspraak en de corrigerende maatregelen zal de Privacy Commissie wel rekening houden met de algemene situatie. Als een organisatie met geen enkel aspect van de privacywetgeving in orde is, zullen de feiten zwaarder wegen. Als je de nodige maatregelen genomen hebt en duidelijk kunt aantonen op grond van welke redeneringen je bepaalde verwerkingen gerechtvaardigd acht, zullen de feiten je minder zwaar aangerekend worden.

We zijn ons ervan bewust dat we hiermee geen duidelijk antwoord hebben gegeven en geen eenduidige richtlijn. Maar privacy is een recht dat moet afgewogen worden tegenover andere rechten en zal altijd een kwestie van interpretatie en discussie zijn. Met gezond verstand en een eerlijke, open benadering kom je al een heel eind. Daarna moet je de gevolgde zienswijze duidelijk communiceren en goed documenteren. Uiteraard moet je wel zorgen dat je in het hele verwerkingsproces de verwachte beveiligingsmaatregelen neemt om de risico’s op inbreuken te beperken.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING