PrivacyBlox over de AVG [5/20]: de privacy van de contractuele wederpartij

07 February 2018 - ArnoudEngelfriet

De AVG bepaalt dat geen aparte toestemming nodig is voor handelingen met persoonsgegevens die redelijkerwijs nodig zijn voor het sluiten of nakomen van een overeenkomst. Dat is ook logisch, als je iets afspreekt dan zou het raar zijn dat je apart alsnog moet vragen of je de afspraak mag nakomen. Dit laat ook meteen de grens zien van deze grondslag: de verbinding met de overeenkomst moet er wel zijn.

De term ‘overeenkomst’ moet u breed opvatten. Het gaat niet alleen om formele schriftelijke contracten met handtekening, maar iedere afspraak valt er onder. Dus ook toezeggingen via Twitter of e-mail en bestellingen bij een webwinkel of een dienst die u via een app afneemt. 

De discussie zal dus eerder gaan over de vraag of wat u wilt doen, wel valt onder een noodzaak. Iets dat alleen maar leuk is of toevallig ook naar een klant (contractuele wederpartij) kan, is dus niet onder deze grondslag te rechtvaardigen. Klanten een statusbericht sturen over onderhoud in het weekend is dus prima onder deze grondslag, een tevredenheidsenquête sturen is op het randje, en ze op uw algemene nieuwsbrief abonneren gaat er echt overheen. Dat vereist dus toestemming.

Sommige ondernemers denken het op te lossen door in de voorwaarden te vermelden dat ze bepaalde dingen gaan doen, en zeggen dan dat het noodzakelijk is omdat het immers afgesproken is. Maar zo werkt het niet. De toets voor ‘noodzakelijkheid’ is een objectieve redelijkheidstoets, het moet zogezegd wel ergens op slaan. Die voorwaarde moet wel relevant zijn. Dus in de algemene voorwaarden (of zelfs de offerte) zetten “Klant zal de nieuwsbrief ontvangen” zal niet genoeg zijn om hieraan te voldoen.

Specifiek voor omgang met gegevens van personeel is deze grond van groot belang. U kunt dan immers een beroep doen op nakoming van de arbeidsovereenkomst. Of het afsluiten daarvan, als we het hebben over sollicitanten. Met deze grondslag kunt u bijvoorbeeld gegevens van personeel delen met collega’s of zelfs klanten (die moeten immers weten wie het werk komt doen). 

Als u zich op deze grond beroept, dan moet u motiveren welke overeenkomst het betreft en waar de noodzaak vandaan komt. U doet dit in het verwerkingsregister, waarover in deel 8 van de serie meer. 

Compliant zijn met de AVG is vooral een kwestie van documenteren. De makkelijkste manier hiervoor is de overzichtelijke tooling van Privacyblox.nl. Het systeem biedt u een eenvoudig te gebruiken register voor gegevensverwerkingen, inclusief standaardteksten voor veelgebruikte verwerkingen. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!

Share this article with your network:
E-mailLinkedinFacebookTwitter

Related articles
Gartner emerging tech hype cycle

De Gartner Hype Cycle is een handige manier om inzicht te krijgen in opkomende technologieën en trends. Elk jaar publiceert het onderzoeksbureau de ontwikkelingen: van nieuwe op de markt naar (te) hoge verwachtingen naar desillusie, […]

Meld je aan voor onze nieuwsbrief

Meer weten over Lynn?

Alles weten over de functionaliteiten van Lynn? Wil je weten op welke wijze Lynn binnen jouw organisatie kan worden toegepast? Onze legal tech specialisten denken graag vrijblijvend met je mee.