Nieuwe regels gegevensverwerking: gevolgen voor jouw bedrijf
In oktober 2024 publiceerde de European Data Protection Board (EDPB) nieuwe richtsnoeren over het gerechtvaardigd belang als grondslag voor gegevensverwerking. Dit document biedt belangrijke verduidelijkingen voor bedrijven die persoonsgegevens verwerken voor hun bedrijfsactiviteiten.
Hoewel de richtsnoeren nog in consultatie zijn, geven ze een duidelijk beeld van wat ondernemers kunnen verwachten als het gaat om het toepassen van het gerechtvaardigd belang. We zetten de belangrijkste punten voor je op een rij.
Het gerechtvaardigd belang: wat houdt het in?
Het gerechtvaardigd belang is één van de zes grondslagen uit de Algemene Verordening Gegevensbescherming (AVG) waarop een organisatie zich kan baseren om persoonsgegevens te verwerken. Het gebruik van deze grondslag vereist echter een zorgvuldige afweging tussen het belang van de organisatie en de privacyrechten van betrokkenen. Dit betekent dat bedrijven een duidelijke en goed gedocumenteerde belangenafweging moeten uitvoeren voordat zij persoonsgegevens verwerken op basis van het gerechtvaardigd belang.
Drie stappen voor een zorgvuldige belangenafweging
De EDPB bevestigt in haar nieuwe richtsnoeren de zogenoemde ‘driestappentoets’ die bedrijven moeten doorlopen om vast te stellen of het gerechtvaardigd belang daadwerkelijk van toepassing is:
- Is er sprake van een gerechtvaardigd belang?
Het bedrijf moet aantonen dat het belang dat het nastreeft rechtmatig is. Denk hierbij aan het voorkomen van fraude, het beveiligen van systemen of direct marketing. De richtsnoeren benadrukken dat bedrijven een specifiek en concreet belang moeten benoemen.
- Is de verwerking noodzakelijk voor het bereiken van dit doel?
Dit houdt in dat bedrijven moeten nagaan of het doel ook bereikt kan worden zonder de verwerking van persoonsgegevens. Is de verwerking echt noodzakelijk of kunnen de doelstellingen ook op een andere, minder ingrijpende manier worden behaald.
- Wegen de belangen van het bedrijf zwaarder dan de rechten van de betrokkenen?
Bij deze laatste stap wordt gekeken of de rechten en belangen van betrokkenen, zoals privacy en gegevensbescherming, opwegen tegen de belangen van het bedrijf. Hierbij wordt bijvoorbeeld rekening gehouden met de kwetsbaarheid van betrokkenen (zoals kinderen) of de gevoeligheid van de gegevens.
Rechten van betrokkenen en gerechtvaardigd belang
Een belangrijk aandachtspunt in de nieuwe richtsnoeren is de relatie tussen het gerechtvaardigd belang en de rechten van betrokkenen. Zo moeten bedrijven in bepaalde situaties informatie verstrekken over hun verwerkingsactiviteiten om betrokkenen te helpen hun rechten effectief uit te oefenen.
- Recht op inzage
Betrokkenen hebben recht om te weten welke gegevens over hen worden verwerkt. Hoewel de AVG niet expliciet vereist dat de verwerkingsgrondslag wordt gedeeld, adviseert de EDPB wel om deze te vermelden om zo aan de transparantievereisten te voldoen.
- Recht op bezwaar
Betrokkenen hebben het recht om bezwaar te maken tegen een verwerking die op gerechtvaardigd belang is gebaseerd. In het geval van direct marketing is dit recht absoluut, wat betekent dat een bedrijf bij een bezwaar altijd moet stoppen met de verwerking voor marketingdoeleinden.
Specifieke aandachtspunten voor bedrijven
De EDPB richt zich in de nieuwe richtsnoeren ook op specifieke situaties, zoals het verwerken van gegevens voor fraudepreventie of marketing, waarbij het gerechtvaardigd belang vaak een rol speelt. Voor bedrijven is het belangrijk om te weten dat het toepassen van het gerechtvaardigd belang geen ‘vrije pas’ geeft; elke situatie vereist een gedetailleerde en zorgvuldige afweging.
Een voorbeeld hiervan is het gebruik van persoonsgegevens van kinderen. De EDPB benadrukt dat het onwaarschijnlijk is dat het belang van het bedrijf zwaarder weegt dan het belang van het kind, tenzij er specifieke maatregelen worden genomen om de privacy van het kind extra te waarborgen.
Aanbevelingen voor bedrijven
De richtsnoeren van de EDPB geven bedrijven handvatten voor het toepassen van het gerechtvaardigd belang. Enkele praktische aanbevelingen:
- Documenteer de belangenafweging
Zorg voor een duidelijke vastlegging van de drie stappen, inclusief de reden waarom een specifieke verwerking noodzakelijk is en hoe de rechten van betrokkenen zijn meegewogen.
- Betrek de Functionaris Gegevensbescherming (FG)
Als jouw organisatie beschikt over een functionaris gegevensbescherming, kan deze een waardevolle bijdrage leveren bij het opstellen en beoordelen van de belangenafweging.
- Communiceer helder naar betrokkenen
Transparantie speelt een grote rol in de nieuwe richtsnoeren. Zorg ervoor dat betrokkenen goed geïnformeerd zijn over hun rechten en dat zij duidelijk begrijpen waarom en hoe hun gegevens worden verwerkt.
- Overweeg alternatieven
Kan het doel ook bereikt worden zonder persoonsgegevens te verwerken of kan de verwerking beperkt worden? Dit kan helpen om conflicten met betrokkenen te voorkomen en om compliance-risico's te verminderen.
Evalueer processen en documentatie rondom gegevensverwerking
De nieuwe EDPB-richtsnoeren onderstrepen het belang van een zorgvuldig en goed gedocumenteerd gebruik van het gerechtvaardigd belang als grondslag voor gegevensverwerking. Voor bedrijven kan dit in de praktijk betekenen dat zij hun processen en documentatie rondom gegevensverwerking opnieuw moeten evalueren. Door transparantie te vergroten en een duidelijke belangenafweging uit te voeren, kunnen bedrijven ervoor zorgen dat ze voldoen aan de eisen van de AVG en tegelijkertijd het vertrouwen van hun klanten behouden.
De richtsnoeren bevinden zich nog in de consultatiefase, wat betekent dat er mogelijk nog wijzigingen komen. Bedrijven doen er echter goed aan om deze richtlijnen nu al toe te passen om hun datapraktijken te versterken.
Meer weten?
ABAB is graag van betekenis. Door kennis te delen, advies te geven en voor inzicht te zorgen. Wilt u meer informatie de consequenties van de DSA voor uw bedrijf? De juristen van ABAB Legal hebben uitgebreide kennis en ervaring op gebied ICT-wetgeving, privacy en intellectueel eigendom. Neem voor advies contact op met Niels Ista, jurist ondernemingsrecht, door te bellen naar 0165-531330 of stuur Niels een e-mail.