De Privacy Consultant
Meesters in het privacyrecht

Gerechtvaardigd belang als grondslag

De AVG biedt diverse grondslagen voor het verwerken van persoonsgegevens. Soms is dit vastgelegd in een wet of wordt om toestemming gevraagd. In totaal zijn er zes grondslagen, waarbij het gerechtvaardigde belang als grondslag de meest lastige betreft. De leestijd voor dit artikel zal dan ook langer zijn dan gemiddeld. In de conclusie bieden wij een eenvoudig schema voor de stappen die hieronder uitvoerig worden beschreven.

De eisen omtrent het geven van toestemming zijn duidelijk omschreven, maar het begrip het gerechtvaardigd belang is een abstract begrip. Een beroep hierop slaagt indien de verwerking noodzakelijk is voor het gerechtvaardigde belang van de verwerkingsverantwoordelijke en het belang of de fundamentele rechten en vrijheden van de betrokkene niet zwaarder weegt.1

Dit betekent dat moet worden voldaan aan drie eisen:

  1. er moet sprake zijn van een gerechtvaardigd belang van de verwerkingsverantwoordelijke;
  2. de verwerking moet noodzakelijk zijn om het doel te bereiken; en
  3. het belang van de verwerkingsverantwoordelijke of een derde moet zwaarder wegen dan dat van de betrokkene.

Gerechtvaardigd belang

Het belang zal vaak gelijkenis tonen met het doel van de verwerking. Het begrip belang moet echter ruimer worden uitgelegd, omdat het ziet op de waarde of het voordeel dat de verwerkingsverantwoordelijke of derde bij de verwerking kan hebben.2 Niet ieder belang is echter gerechtvaardigd. Er zijn vele belangen te bedenken, in meer of mindere mate zwaarwegend, duidelijk of omstreden. De meest voorkomende belangen zijn:

  • Uitoefenen van het recht op de vrijheid van meningsuiting of de vrijheid van informatie, waaronder in de media en de kunsten;
  • conventionele direct marketing en andere vormen van marketing of advertenties;
  • ongevraagde niet-commerciële berichten, waaronder voor politieke campagnes of goede doelen;
  • handhaving van juridische vorderingen, waaronder schuldinning via buitengerechtelijke procedures;
  • preventie van fraude, misbruik van diensten of witwassen;
  • toezicht op medewerkers ten behoeve van de veiligheid of managementdoeleinden;
  • klokkenluidersregelingen;
  • fysieke veiligheid, IT- en netwerkbeveiliging;
  • verwerking ten behoeve van historische, wetenschappelijke of statistische doeleinden;
  • verwerking voor onderzoeksdoeleinden (waaronder marketingdoeleinden).3

Gerechtvaardigd wil zeggen dat een belang kan worden behartigd op een manier die overeenkomt met de wet- en regelgeving, jurisprudentie, gewoonterecht, maatschappelijke ontwikkelingen en andere bronnen van normen en waarden. Oftewel; het moet aanvaardbaar zijn volgens de wetgeving. Ook puur commerciële belangen kunnen hieronder vallen, zoals de intentie van een bedrijf om de voorkeuren van klanten op te slaan zodat hij aanbiedingen kan personaliseren om uiteindelijk producten aan te bieden die voldoen aan de eisen van zijn klanten.4 Ook het opnemen en uitzenden van videobeelden van alle amateurvoetbalwedstrijden is een gerechtvaardigd belang.5 Dit houdt in dat een gerechtvaardigd belang:

  • rechtmatig moet zijn (d.w.z. in overeenstemming met toepasselijk EU- en nationaal recht);
  • voldoende duidelijk verwoord moet zijn om de afweging uit te kunnen voeren met de belangen en fundamentele rechten van de betrokkene (d.w.z. voldoende specifiek); en
  • een werkelijk en aanwezig belang vertegenwoordigen (d.w.z. niet speculatief zijn)

Dat een belang gerechtvaardigd kan zijn, betekent nog niet dat de verwerkingsverantwoordelijke zich kan beroepen op deze grondslag. Later zal blijken dat er ook nog een belangenafweging zal moeten worden gemaakt en dat deze verwerking een aanzienlijke inbreuk op de persoonlijke levenssfeer van de betrokkene kan vormen. Een overheidsinstantie kan zich voorts niet beroepen op de een gerechtvaardigd belang.6

Gerechtvaardigd belang van een derde

In de voorganger van de AVG was het mogelijk om gegevens aan een derde te verstrekken onder deze grondslag.7 De AVG heeft hier verandering in aangebracht, in de zin dat er nog steeds een belang van een derde kan worden behartigd, maar de te verwerken gegevens mogen niet zonder meer aan deze derde worden verstrekt.

Een situatie waarin de verwerkingsverantwoordelijke zich kan beroepen op de belangen van een derde is bijvoorbeeld ten behoeve van transparantie en verantwoording, zoals het openbaar maken van het salaris van de hoogst leidinggevende. De openbaarmaking vindt niet primair plaats voor het belang van diegene die deze cijfers openbaart, maar bijvoorbeeld voor werknemers, journalisten of het algemene publiek.8 Daarnaast kunnen ook historisch of wetenschappelijk onderzoek of een algemeen belang van een derde relevant zijn.

Een doel van een derde dat echter niet verenigbaar is met het doel van de verwerkingsverantwoordelijke waar de gegevens oorspronkelijk voor zijn verzameld, mag niet worden meegewogen.

Noodzakelijk

Nadat is vastgesteld dat er sprake is van een gerechtvaardigd belang, moet de verwerking voorts noodzakelijk zijn voor de behartiging van dat belang. Deze noodzakelijkheidseis vormt een aanvulling op het beginsel van dataminimalisatie; er mogen niet meer gegevens worden gebruikt dan nodig is om het doel van de verwerking te bereiken.9 Er moet worden gekeken of er geen minder inbreukmakende middelen beschikbaar zijn voor het bereiken van hetzelfde doel.

Voor de vraag of de verwerking noodzakelijk is, moet worden voldaan aan de proportionaliteits- en subsidiariteitseis. Oftewel, staat de verwerking in verhouding met het te bereiken doel en is er geen andere manier waarop dit doel kan worden bereikt. Daarbij moet worden uitgegaan van hetgeen dat strikt noodzakelijk is.10 

Belangenafweging

De laatste (grote) stap om te bepalen of er een beroep op deze grondslag kan worden gedaan, houdt in dat er een belangenafweging moet plaatsvinden tussen de gerechtvaardigde belangen van de verwerkingsverantwoordelijke en de belangen van de betrokkene. Hierbij moeten niet alleen de belangen van de betrokkene in acht worden genomen, maar ook specifiek zijn fundamentele rechten en vrijheden.

Net zoals de ruime uitleg van het belang van de verwerkingsverantwoordelijke, moeten ook bij de belangen van de betrokkene alle relevante omstandigheden in acht worden genomen. Daarnaast hoeven de belangen van de betrokkene niet rechtvaardig te zijn; ook de belangen van een dief kunnen prevaleren boven het belang van openbaarmaking van camerabeelden van zijn diefstal.

Tegenwoordig is er een toenemende ongelijkheid op het gebied van "informatiemacht". Regeringen en bedrijven kunnen tot nog toe ongeziene hoeveelheden gegevens over personen verzamelen en steeds beter in staat zijn om gedetailleerde profielen op te stellen die het gedrag kunnen voorspellen. Hierdoor ontstaat er een onevenwichtigheid op het gebied van informatie en de autonomie van personen wordt verminderd. Dientengevolge is het van nog groter belang om te garanderen dat de belangen van personen op het gebied van de eerbiediging van hun persoonlijke levenssfeer en autonomie worden beschermd.11 Beide belangen kunnen meer of minder gaan wegen naar mate er diverse waarborgen zijn ingebouwd in de verwerking van de gegevens. Deze moeten echter wel adequaat en voldoende zijn, en moeten ze de gevolgen voor de betrokkenen zonder twijfel en aanzienlijk verminderen.

Voor de belangenafweging moeten twee aspecten in overweging worden genomen: de aard en de bron van het gerechtvaardigde belang van de verwerkingsverantwoordelijke en de gevolgen daarvan voor de betrokkene.

Beoordeling van het gerechtvaardigd belang van de verwerkingsverantwoordelijke

Het gerechtvaardigd belang van de verwerkingsverantwoordelijke kan alleen prevaleren als de verwerking noodzakelijk en evenredig is met het oog op de uitoefening van bijvoorbeeld een fundamenteel recht van de betrokkene. In enkele gevallen kan naast het belang van de verwerkingsverantwoordelijke ook een beroep worden gedaan op een algemeen belang van de samenleving. Een dienstverlener kan een gerechtvaardigd bedrijfsbelang hebben om te garanderen dat zijn klanten de dienst niet misbruiken. Naast dit eigen belang kunnen de klanten van het bedrijf, belastingbetalers en het algemeen publiek ook een gerechtvaardigd belang hebben bij de verzekering dat frauduleuze activiteiten worden ontmoedigd en worden opgespoord als ze zich wel voordoen.

Hoe zwaarwegender het algemeen belang of het belang van de bredere samenleving en hoe duidelijker wordt erkend en verwacht in de gemeenschap en door de betrokkenen dat de voor de verwerking verantwoordelijke actie kan ondernemen en gegevens kan verwerken ter behartiging van deze belangen, hoe zwaarder dit gerechtvaardigde belang meeweegt bij de afweging.12

Gevolgen van de verwerking voor de betrokkene

Beoordeling van de gevolgen

Het beoordelen van de gevolgen van de verwerking is niet te vereenzelvigen met een privacy impact assessment, maar kan daar wel een onderdeel van zijn.13 Er moet rekening worden gehouden met zowel negatieve als positieve gevolgen. Het kan hierbij gaan om mogelijke toekomstige beslissingen van derden en situaties waarin de verwerking kan leiden tot uitsluiting of discriminatie van personen of bijvoorbeeld situaties waarbij er een risico is voor beschadiging van de reputatie, het onderhandelingsvermogen of de autonomie van de betrokkene. Daarnaast moet rekening worden gehouden met bredere emotionele gevolgen. Denk hierbij aan irritatie, angst of stress bij iemand die de controle verliest over persoonlijke informatie.14

Hoewel deze gevolgen gelijkenis tonen met de gevolgen van een datalek, betreft dit begrip in deze context een veel breder concept.15 Het omvat alle mogelijke en potentiële gevolgen van de gegevensverwerking. Zo is de waarschijnlijkheid dat een risico zich verwezenlijkt een element waar rekening mee moet worden gehouden, maar ook de ernst van de gevolgen indien een risico zich daadwerkelijk heeft verwezenlijkt.

Aard van de gegevens

Van belang is om vast te stellen of er bijvoorbeeld sprake is van het verwerken van bijzondere persoonsgegevens. Deze gegevens, zoals medische of strafrechtelijke gegevens, behoeven immers speciale bescherming en de AVG stelt dan ook strengere eisen aan het verwerken van deze gegevens. Dit geldt voorts voor het burgerservicenummer, al betreft dit geen bijzonder persoonsgegeven.

Over het algemeen geldt dat hoe gevoeliger de informatie is, des te groter de gevolgen voor de betrokkene kunnen zijn. Op zichzelf staande gegevens, die op het eerste oog onschuldig lijken te zijn, kunnen echter ook aanzienlijke gevolgen hebben voor betrokkenen, afhankelijk van de wijze waarop deze verwerkt worden. Het kan hierbij relevant zijn of deze gegevens reeds openbaar beschikbaar zijn gemaakt door de betrokkene of derden. Dit betekent echter niet dat er een vrijbrief ontstaat voor gegevens die reeds openbaar zijn gemaakt.

De manier waarop gegevens worden verwerkt

De wijze waarop gegevens verwerkt worden kan bijdragen aan nadelige gevolgen voor de betrokkene. Hierbij kan worden gedacht aan het toegankelijk maken van deze gegevens aan een groot publiek. Ogenschijnlijke onschuldige gegevens kunnen, wanneer deze op grote schaal verwerkt worden of worden gecombineerd met andere gegevens, leiden tot gevolgtrekking over gevoeligere gegevens. Zo kunnen gegevens tijdens het autorijden worden doorgegeven aan de verzekeraar, waarna deze kan besluiten om iemand een verzekering te ontzeggen. Met betrekking tot bijvoorbeeld kunstmatige intelligentie en profilering is het voorts van belang om een waardeoordeel te geven over de juistheid van bepaalde datasets.

Over het algemeen kan worden gezegd dat hoe negatiever of onzekerder de gevolgen van de verwerking kunnen zijn, des te onwaarschijnlijker het is dat de verwerking in het kader van de belangenafweging zal worden beschouwd als gerechtvaardigd. De beschikbaarheid van alternatieve methoden voor het bereiken van de door de voor de verwerking verantwoordelijke nagestreefde doeleinden met minder negatieve gevolgen voor de betrokkene, moet in deze context zeker worden meegewogen.16

Redelijke verwachtingen van de betrokkene

Ook de redelijke verwachtingen van de betrokkene tellen mee in de belangenafweging. Indien er sprake is van een bepaald gevolg, dat gezien de aard van de relatie verwacht mag worden, zal er sneller sprake zijn van een gerechtvaardigd belang bij de verwerkingsverantwoordelijke. Hierbij moet niet per se worden gekeken naar de juridische verwachtingen, maar naar de daadwerkelijke feitelijke omstandigheden.

De status van de verwerkingsverantwoordelijke en betrokkene

Het verschil in status tussen de verwerkingsverantwoordelijke en de betrokkene kan een grote rol spelen, zeker indien de betrokkene een consument betreft en de verwerkingsverantwoordelijke bijvoorbeeld een grote multinational of een overheid is. In deze situaties zal de verwerkingsverantwoordelijke een dominante positie hebben, ten opzichte van de betrokkene. Deze onbalans zal des te meer duidelijk zijn indien er sprake is van een dominante marktpositie.

Ook de status van de betrokkene kan een belangrijke bijdrage betekenen in de belangenafweging. Het verwerken van gegevens van minderjarige of iemand uit een kwetsbare groep, zal minder snel leiden tot een gerechtvaardigd belang bij de verwerkingsverantwoordelijke.17

Toegepaste aanvullende waarborgen

Indien uit het onderzoek naar de gevolgen van de verwerking voor de betrokkene blijkt dat er sprake is van waarschijnlijk negatieve gevolgen, kunnen er aanvullende waarborgen worden toegepast. Deze kunnen helpen om toch te kunnen spreken van een gerechtvaardigd belang van de verwerkingsverantwoordelijke. Hoe aanzienlijker de gevolgen voor de betrokkene zijn, des te meer aandacht moet worden besteed aan deze waarborgen. Hierbij kan worden gedacht aan:

  • technische en organisatorische maatregelen om te verzekeren dat de gegevens niet kunnen worden gebruikt om besluiten te nemen of andere acties te ondernemen ten aanzien van betrokkenen;
  • uitgebreid gebruik van anonimiseringstechnieken;
  • aggregatie van gegevens;
  • privacyverbeterende technologieën, "Privacy by Design", privacy- en gegevensbeschermingseffectbeoordelingen;
  • verbeterde transparantie;
  • een algemeen en onvoorwaardelijk recht op opt-out;
  • gegevensoverdraagbaarheid en verwante maatregelen om betrokkenen meer controle te bieden.18

Rechten van de betrokkene

Nadat een rechtsgeldig beroep op een eigen gerechtvaardigd belang wordt gedaan, vloeien daaruit ook diverse rechten voor de betrokkene. Allereerst dient deze duidelijke informatie te ontvangen over de verwerking en over het gerechtvaardigd belang.19 Indien de betrokkene onjuist of onvolledig geïnformeerd wordt, zal dit doorgaans zijn redelijke verwachting aantasten. De verwerkingsverantwoordelijke dient immers transparant te zijn over de gegevens die verwerkt worden.20

Daarnaast heeft de betrokkene het recht om bezwaar te maken tegen de verwerking.21 Hierbij kan de betrokkene de met zijn specifieke situatie verband houdende redenen aangeven waarom gestaakt moet worden met de verwerking. De verwerkingsverantwoordelijke kan alleen doorgaan met het verwerken van de gegevens indien deze dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen van de betrokkene.22

Conclusie

Het bepalen van de belangen en de afweging hiervan is vaak lastig. Aan de hand van de in dit artikel aangegeven handvaten, kan deze afweging gestructureerd worden gemaakt en bevat deze een aantal duidelijke stappen:

  1. Is het belang van de verwerkingsverantwoordelijke gerechtvaardigd?
  2. Is de verwerking daadwerkelijk noodzakelijk?
  3. Weegt het belang van de betrokkene niet zwaarder?
  4. Zijn er aanvullende waarborgen?

Deze kunnen als volgt schematisch worden weergegeven:

Het belang van de betrokkene zal vaak prevaleren boven die van de verwerkingsverantwoordelijke. De verwerking moet namelijk noodzakelijk zijn en vanuit het perspectief van de betrokkene kunnen veel omstandigheden spelen die zwaarder wegen dan die van de verwerkingsverantwoordelijke. Dit maakt het lastig om in zijn algemeenheid iets te zeggen over de juiste belangenafweging. 

Wilt u weten of u zich kan beroepen op een eigen gerechtvaardigd belang? Neem vrijblijvend contact met ons op.

 

Voetnoten

  1. Artikel 6 lid 1 sub f AVG.
  2. WP 29, advies 01/2017, p. 29.
  3. WP 29, advies 01/2017, p. 30.
  4. WP 29, advies 01/2017, p. 31.
  5. Rechtbank Midden-Nederland, 23-11-2020, ECLI:NL:RBMNE:2020:5111 (VoetbalTV)
  6. Zie laatste zin bij artikel 6 lid 1 AVG.
  7. Zie de zinsnede "aan wie de gegevens worden verstrekt" uit artikel 7 sub f Richtlijn 95/46/EG.
  8. WP 29, advies 01/2017, p. 33.
  9. Artikel 5 lid 1 sub c AVG.
  10. HvJ EU 04-05-2017, C13/16, r.o. 30.
  11. WP 29, advies 01/2017, p. 36.
  12. WP 29, advies 01/2017, p. 43.
  13. WP 29, advies 01/2017, p. 45.
  14. Zie rechtbank Amsterdam, 02-09-2019, ECLI:NL:RBAMS:2019:6490 voor een voorbeeld waarbij de betrokkene angst en stress heeft als gevolg van een datalek.
  15. WP 29, advies 01/2017, p. 45.
  16. WP 29, advies 01/2017, p. 48.
  17. HvJ EU C13/16, r.o. 33; Laatste zinsnede uit artikel 6 lid 1 sub f AVG.
  18. WP 29, advies 01/2017, p. 51.
  19. Artikelen 13 lid 1 sub d en 14 lid 2 sub b AVG.
  20. Artikel 5 lid 1 sub a AVG.
  21. Artikel 21 AVG.
  22. Of met redenen die verband houden met een rechtsvordering.