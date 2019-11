Om persoonsgegevens te mogen verwerken is een grondslag nodig uit de Algemene verordening gegevensbescherming (AVG). Een stappenplan speciaal voor mkb-ondernemers. Elke keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Dus: als je zonder deze gegevens je doel niet kunt bereiken. Je hebt dus een grondslag nodig om persoonsgegevens te mogen verwerken.

Stappenplan mkb grondslag bepalen

1 Bedenk waarom (voor welk doel) je persoonsgegevens wil verzamelen en gebruiken

Het doel moet van begin af aan duidelijk zijn. En het doel moet ook heel precies zijn.

Dus niet: ‘omdat de gegevens misschien ooit van pas komen’.

2 Ga na of het noodzakelijk is om voor dit doel gegevens te verzamelen

Elke keer als je persoonsgegevens verwerkt, is dat een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag je alleen persoonsgegevens verwerken als het echt niet anders kan. Dus als je het doel niet kunt bereiken zonder persoonsgegevens.

3 Kijk of een van de AVG-grondslagen op de verwerking van toepassing is

Je moet een goede reden hebben om persoonsgegevens te mogen verwerken. In de AVG staan 6 redenen genoemd. De juridische naam voor die redenen is grondslagen. Je hebt dus een grondslag nodig om persoonsgegevens te mogen verwerken.

Grondslagen

Van de 6 grondslagen zijn er 4 belangrijk voor de mkb’er:

Uitvoering overeenkomst

De meest voorkomende grondslag voor de mkb’er zal zijn dat hij gegevens nodig heeft om een overeenkomst uit te voeren. Bijvoorbeeld om een aankoop van een klant af te handelen of een offerte op te stellen.

Wettelijke verplichting

Soms moet je persoonsgegevens verwerken omdat je dit wettelijk verplicht bent. Bijvoorbeeld: je moet gegevens verstrekken voor de uitvoering van de belastingwetgeving.

Toestemming

Je mag iemands persoonsgegevens verwerken als diegene daarvoor toestemming heeft gegeven. Maar dat komt minder vaak voor dan je misschien denkt. Je hoeft dus zeker niet overal toestemming voor te vragen.

Gerechtvaardigd belang

Je mag persoonsgegevens verwerken als dat noodzakelijk is om het gerechtvaardigd belang te behartigen. Bijvoorbeeld als je fraude binnen het bedrijf wil bestrijden. Maar let op: je kunt je niet eenvoudig op deze grondslag beroepen.

4 Informeer de doelgroep

Je hebt de plicht om mensen te informeren over de verwerking van hun persoonsgegevens. Een praktische manier om mensen te informeren is een privacyverklaring op de website. Zet in deze verklaring op basis van welke grondslag je persoonsgegevens verwerkt. Zo weten de mensen van wie je gegevens verwerkt waarom je dit mag. En komen zij niet voor verrassingen te staan.

5 Voldoe aan de verantwoordingsplicht

Registreer de grondslag waarop je de verwerking baseert in het verwerkingsregister. Zorg er ook voor dat je kunt onderbouwen waarom deze grondslag op de verwerking van toepassing is. Zo voldoe je aan je verantwoordingsplicht.

Zie voor meer informatie over grondslagen het dossier ‘Mag je persoonsgegevens verwerken’ op autoriteitpersoonsgegevens.nl