Blog & Whitepapers

Breadcrumbs

De meeste van ons weten inmiddels dat anonieme data niet onder de AVG valt, want alleen persoonsgegevens die herleidbaar zijn of herleidbaar kunnen zijn vallen hieronder. Anoniem is anoniem. Maar toch zit er nog een haakje en oogje aan.

Beginnen bij het begin: wanneer mag je persoonsgegevens verwerken?

Om persoonsgegevens te mogen werken heb je tenminste één van deze grondslagen nodig om jouw verwerking rechtmatig te laten zijn:

  1. Contractuele basis - noodzakelijk voor uitvoering van overeenkomst, bijvoorbeeld een arbeidsovereenkomst
  2. Wettelijke verplichting - noodzakelijk voor uitvoering wettelijke plicht, bijvoorbeeld opgelegd in wettelijke regeling
  3. Algemeen belang of openbaar gezag. Bijvoorbeeld door de wet opgedragen aan de politie
  4. Vitaal belang – wanneer er een ongeluk heeft plaatsgevonden of ander dringende medische reden
  5. Gerechtvaardigd belang – dit is een activiteit dat anders niet uitvoerbaar is. En dan nog geldt, enkel als dit belang zwaarder weegt dan het belang, de rechten en de redelijke privacy verwachtingen van de betrokkenen (commercieel belang valt hier vaak niet onder)
  6. Ondubbelzinnige toestemming - vrije, actieve en specifieke toestemming van betrokkenen.

Persoonsgegevens anonimiseren. Mag dat zomaar? Nee!

Als je persoonsgegevens hebt en je denkt ‘ik maak ze anoniem, want dan hoef ik niet meer te voldoen aan de AVG’ dan heb je het helaas goed mis. Zoals je hierboven kon lezen moet je een grondslag hebben om persoonsgegevens te verwerken.  Anonimiseren is namelijk ook verwerken. Daarom moet je je op één van de grondslagen beroepen om gegevens te anonimiseren. De Autoriteit Persoonsgegevens kan vragen om bewijs.