Grondslagen

De zes grondslagen uit de AVG zijn de wettelijke basissen waarop je persoonsgegevens mág verwerken: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang en gerechtvaardigd belang. Zonder geldige grondslag is elke verwerking onrechtmatig. Per verwerking leg je de gekozen grondslag vast in je verwerkingsregister; de Autoriteit Persoonsgegevens toetst hierop.

Aan de slag met verwerkingen, DPIA of verwerkingsregister? Wij helpen je graag verder. Met onze gebruikersvriendelijke en complete software, ondersteund door onze adviseurs.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Grondslagen

De AVG bevat zes grondslagen voor het verwerken van persoonsgegevens:

  1. Toestemming
  2. Overeenkomst
  3. Wettelijke verplichting
  4. Vitale belangen
  5. Taak van algemeen belang
  6. Gerechtvaardigd belang

Laten we deze grondslagen nader bekijken.

Toestemming
Toestemming is een van de meest voorkomende grondslagen voor het verwerken van persoonsgegevens. Toestemming moet vrijwillig worden gegeven, specifiek zijn en geïnformeerd. Dit betekent dat een persoon moet weten waar hij of zij toestemming voor geeft en wat de gevolgen zijn van het geven van die toestemming. Organisaties moeten er ook voor zorgen dat personen hun toestemming op elk moment kunnen intrekken. Als een persoon zijn of haar toestemming intrekt, moet de organisatie stoppen met het verwerken van de persoonsgegevens.

Overeenkomst
Een andere grondslag voor het verwerken van persoonsgegevens is een overeenkomst. Als een persoon bijvoorbeeld een product koopt bij een organisatie, moet de organisatie persoonsgegevens verzamelen om de overeenkomst uit te voeren. De organisatie mag deze gegevens alleen verwerken voor het specifieke doel waarvoor ze zijn verzameld.

Wettelijke verplichting
Organisaties kunnen ook persoonsgegevens verwerken omdat dit wettelijk verplicht is. Dit geldt bijvoorbeeld voor belastingaangiften of het bewaren van medische gegevens. Als een organisatie persoonsgegevens verwerkt omdat dit wettelijk verplicht is, moet zij ervoor zorgen dat zij zich aan alle wettelijke voorschriften houdt.

Vitale belangen
Als het verwerken van persoonsgegevens noodzakelijk is om iemands vitale belangen te beschermen, mag een organisatie deze gegevens verwerken. Dit kan bijvoorbeeld het geval zijn bij medische noodgevallen.

Taak van algemeen belang
Als een organisatie een taak uitvoert die van algemeen belang is, kan dit een grondslag zijn voor het verwerken van persoonsgegevens. Dit geldt bijvoorbeeld voor overheidsinstanties die persoonsgegevens verzamelen om de openbare veiligheid te waarborgen.

Gerechtvaardigd belang
De laatste grondslag voor het verwerken van persoonsgegevens is gerechtvaardigd belang. Dit houdt in dat een organisatie persoonsgegevens mag verwerken wanneer zij een daadwerkelijk gerechtvaardigd belang heeft. En niet alleen dat, het gerechtvaardigd belang moet ook zwaarder wegen dat het privacybelang van betrokkenen.

AVG persoonsgegevens privacy grondslagen toestemming overeenkomst wettelijke verplichting vitale belangen taak van algemeen belang gerechtvaardigd belang verwerking gegevensbescherming rechtmatigheid doelbinding proportionaliteit subsidiariteit informed consent intrekken toestemming overdracht gegevens verwijdering gegevens datalekken beveiliging verwerkersovereenkomst verwerkingsregister verwerkingsovereenkomst betrokkenen privacyverklaring data protection impact assessment data protection officer handhaving

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wpg voor boa's - Register van verwerkingen

Het Wpg-verwerkingsregister is vergelijkbaar met het AVG-verwerkingsregister, maar kent aanvullende eisen: onder meer over bewaartermijnen, rechtsgrondslagen per artikel en expliciete koppeling aan politietaken. In dit artikel lees je welke extra elementen het Wpg-register moet bevatten en hoe je dit naadloos aanvult op een bestaand AVG-verwerkingsregister.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wat is een verwerking?

Volgens de AVG is 'verwerken' vrijwel alles wat je met persoonsgegevens kunt doen: verzamelen, opslaan, raadplegen, wijzigen, doorsturen, vernietigen — zelfs het enkel bekijken valt eronder. In dit artikel lichten we toe wat het begrip 'verwerken' precies inhoudt en waarom dit ruime begrip relevant is voor elke organisatie.

Marcel van Langen

Veelgestelde vragen over Grondslagen

De vragen die we het vaakst krijgen over Grondslagen, met korte en feitelijke antwoorden.

Grondslagen zijn de zes juridische bases waarop je persoonsgegevens mag verwerken volgens artikel 6 AVG. Zonder geldige grondslag is verwerking onrechtmatig. De zes grondslagen zijn: toestemming, uitvoering overeenkomst, wettelijke verplichting, vitaal belang, publieke taak en gerechtvaardigd belang. Per verwerking moet je één grondslag aanwijzen.

Toestemming betekent dat de betrokkene vrijwillig, specifiek, geïnformeerd en ondubbelzinnig instemt met de verwerking. Toestemming moet intrekbaar zijn, en je moet dat net zo makkelijk kunnen maken als geven. Toestemming werkt alleen als de betrokkene écht een vrije keuze heeft — bij werknemersrelaties bijvoorbeeld meestal niet.

Deze grondslag geldt wanneer verwerking noodzakelijk is voor een contract met de betrokkene, zoals NAW-gegevens voor levering van een product. De verwerking moet objectief noodzakelijk zijn — niet alleen handig voor de organisatie. Ook de precontractuele fase (offerte, intake) valt hieronder.

Gerechtvaardigd belang geldt wanneer jij of een derde een legitiem belang hebt dat zwaarder weegt dan de privacy van de betrokkene. Denk aan fraudebestrijding, interne administratie of direct marketing aan bestaande klanten. Een belangenafweging is verplicht en moet worden vastgelegd. Overheden mogen deze grondslag niet gebruiken bij de uitvoering van hun wettelijke taken.

Deze grondslag geldt wanneer een EU- of nationale wet je verplicht om bepaalde gegevens te verwerken. Voorbeelden: loonadministratie (Wet op de loonbelasting), cliëntidentificatie (Wwft), zorgdossiers (Wgbo). De wettelijke grondslag moet specifiek genoeg zijn en duidelijk aanwijzen welke verwerking verplicht is.

De juiste grondslag hangt af van doel en context. Begin bij de specifieke verwerking: waarom verwerk je deze gegevens? Welke partij heeft de verwerking nodig? Is er sprake van een contract, wet, publieke taak of eigen belang? Toestemming is doorgaans de laatste keuze — niet de eerste. Documenteer per verwerking welke grondslag geldt.

Een verkeerde grondslag maakt de verwerking onrechtmatig. Dat kan leiden tot klachten bij de Autoriteit Persoonsgegevens, datalekken, schadeclaims of boetes (tot 20 miljoen euro of 4% van de wereldwijde jaaromzet). Bovendien mag je niet zomaar 'overstappen' — als je eerst toestemming vroeg, kun je niet later 'gerechtvaardigd belang' claimen.

Nee — voor bijzondere persoonsgegevens (gezondheid, ras, religie, biometrie, vakbond) geldt artikel 9 AVG met eigen uitzonderingen. Er zijn tien specifieke grondslagen, waaronder uitdrukkelijke toestemming, arbeidsrecht, preventieve geneeskunde en zwaarwegend algemeen belang. Bijzondere gegevens verwerken zonder zo'n specifieke grondslag is verboden.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management