• Nieuws

De uitvoering van een overeenkomst als verwerkingsgrondslag: hoe gebruik je deze?

13 november 2019
IT & privacy

De overeenkomst als grondslag voor verwerking van persoonsgegevens

Voor de verwerking van persoonsgegevens is een wettelijke grondslag vereist. De Algemene Verordening gegevensbescherming (AVG) kent verschillende grondslagen voor de verwerking van persoonsgegevens. Één van die grondslagen is dat de verwerking ‘noodzakelijk [is] voor de uitvoering van een overeenkomst waarbij de betrokkene partij is’ (artikel 6 lid 1 sub b AVG). Deze grondslag wordt bijvoorbeeld gebruikt wanneer een klant iets koopt in een webshop of wanneer partijen een arbeidsovereenkomst of huurovereenkomst met elkaar sluiten. Maar hoe gebruik je deze grondslag en welke persoonsgegevens mogen daar allemaal bij worden verwerkt? En wanneer kun je beter een andere grondslag kiezen?

Voordat we hier nader op in gaan, is het belangrijk te vermelden dat ‘verwerken’ een ruim begrip is, waaronder bijvoorbeeld valt het opslaan van de gegevens in een klantensysteem. Bovendien is (alleen) het bestaan van een wettelijke grondslag voor de verwerking van persoonsgegevens niet voldoende om persoonsgegevens te mogen verwerken. Ook aan de andere vereisten van de AVG moet worden voldaan, maar deze blog is beperkt tot het uitlichten van de mogelijkheden en onmogelijkheden van het doen van een beroep op voornoemde grondslag. We focussen hierbij op online verkoop (e-commerce).

Noodzakelijkheid

Één van de belangrijkste criteria om persoonsgegevens te mogen verwerken is dat de verwerking van persoonsgegevens noodzakelijk moet zijn voor, in dit geval, de uitvoering van de overeenkomst waarbij de betrokkene (wiens gegevens worden verwerkt) partij is. Wie online kleding bestelt of een pizza laat bezorgen, zal bijvoorbeeld zijn adres en bankgegevens moeten verstrekken. Als de webshop of het restaurant deze persoonsgegevens niet verwerkt, kan de overeenkomst immers niet worden uitgevoerd. Voor deze verwerking mag de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’ worden gebruikt. Maar mag de webshop ook op basis van deze grondslag een klantprofiel maken op basis van het websitegebruik? En mag het restaurant aanbiedingen sturen voor die pizza Hawaii die de klant zo vaak bestelt?

De EDPB geeft uitleg

In april 2019 heeft de European Data Protection Board (EDPB) richtlijnen uitgebracht ter verduidelijking. De EDPB is de opvolger van de Artikel 29-Werkgroep, een Europees orgaan waarin alle Europese privacyautoriteiten zijn vertegenwoordigd om een goede samenwerking te verzekeren. Ook brengen zij adviezen en richtlijnen uit met betrekking tot de interpretatie van de Europese privacywetgeving.

Deze richtlijnen verduidelijken de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’, in het bijzonder ten aanzien van online gesloten overeenkomsten. De EDPB benadrukt dat – zoals hierboven ook beschreven – alleen de persoonsgegevens die strikt noodzakelijk zijn om de overeenkomst uit te kunnen voeren op basis van deze grondslag mogen worden verwerkt. Alle persoonsgegevens die wel nuttig kunnen zijn om te hebben, maar niet het doel van de overeenkomst met deze specifieke betrokkene dienen, kunnen op basis van deze grondslag niet worden verwerkt. De verwerkingsverantwoordelijke zal daarvoor dan een andere wettelijke grondslag moeten vinden.

We adviseren een verwerkingsverantwoordelijke – degene die het doel en de middelen van de verwerking bepaalt – om zich steeds af te vragen: kan ik het doel van deze specifieke overeenkomst met deze specifieke betrokkene (ook) bereiken als ik bepaalde persoonsgegevens niet verwerk? In het voorbeeld van de webshop kan de kleding niet worden bezorgd en betaald zonder het adres en de bankgegevens. In het geval dat de klant de kleding niet thuis laat bezorgen, maar ophaalt bij een afleverpunt, is zijn huisadres niet direct nodig voor de uitvoering van de overeenkomst. Het is dan op basis van de hierin besproken grondslag niet toegestaan het huisadres te verwerken.

Het komt voor dat webshopeigenaren aangeven dat zij persoonsgegevens in het kader van de overeenkomst verwerken voor andere veelgebruikte doelen, zoals ‘marketing’, ‘verbetering van onze service’ of ‘tegengaan van fraude en misbruik’. Ook deze doelen zijn echter niet goed in te passen in de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’. Het doel van de overeenkomst, bezorging en betaling van kleding, kan immers worden bereikt zonder deze verwerkingen en zij zijn dus niet noodzakelijk voor het doel. Dat wil nog niet zeggen dat de persoonsgegevens helemaal niet voor deze doeleinden mogen worden verwerkt. Er is echter een andere grondslag vereist, zoals een gerechtvaardigd belang of een wettelijke verplichting. Denk bijvoorbeeld aan een bank die wettelijk verplicht is om bepaalde gegevens van (potentiële) klanten te verwerken om zo fraude tegen te gaan. Voor marketing gelden echter per medium specifieke regels, waarop in dit blog niet nader wordt ingegaan.

Voor en na de overeenkomst

Ook voorafgaand aan het sluiten van een overeenkomst kan het nodig zijn om persoonsgegevens te verwerken. In sommige gevallen is de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’ daarvoor volgens de EDPB ook geschikt. Dit is bijvoorbeeld het geval als een klant zijn postcode invoert op een website, om te zien of een bedrijf ook in zijn buurt bezorgt. Die gegevens mag u dan ook verwerken, maar u moet wel een duidelijk beleid hebben hoe lang u die gegevens dan bewaart (dat mag niet langer zijn dan noodzakelijk voor het doel van de verwerking).

Het kan ook zo zijn dat een verwerkingsverantwoordelijke na afloop van de overeenkomst nog persoonsgegevens verwerkt. In principe kan dat niet op basis van de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’. De overeenkomst is immers afgelopen en afgewikkeld: de klantrelatie is bijvoorbeeld beëindigd of de werknemer is uit dienst getreden. De verwerkingsverantwoordelijke moet dan een andere grondslag kiezen als de gegevens nog steeds nodig zijn, en hij moet deze verwerking en de duur daarvan van tevoren aankondigen aan de betrokkenen, bijvoorbeeld door middel van een privacyverklaring. Denk bijvoorbeeld aan de wettelijke verplichting om fiscale gegevens gedurende een zekere periode na afloop van een overeenkomst te bewaren.

Conclusie

Kortom: let goed op welke grondslag je kiest voor de verwerking van persoonsgegevens. Niet alle verwerkingen in het kader van een overeenkomst met bijvoorbeeld een klant, kunnen ook daadwerkelijk onder de grondslag ‘noodzakelijk voor de uitvoering van een overeenkomst’ worden geschaard. Andersom geldt ook dat we vaak zien dat ‘toestemming’ als verwerkingsgrondslag wordt gebruikt, terwijl de verwerking noodzakelijk is voor de uitvoering van de overeenkomst en geen toestemming is vereist. Andere grondslagen zijn in die gevallen wellicht passender en meer raadzaam.

Meer weten over verwerkingsgrondslagen of de andere vereisten van de AVG? Hulp nodig bij het inrichten van uw privacybeleid? Neem dan contact op met ons Privacyteam. Wij adviseren graag!

Meer informatie

Nina Witt

M +31 6 30 29 34 05
E n.witt@ploum.nl

Print dit artikel