Verwerkingsregister documentatieplicht

Wat is een wettelijke grondslag en hoe kies je de juiste voor elke verwerking?

Eva de Vries Eva de Vries
· · 10 min leestijd

Stel je voor: je wilt een gave nieuwe marketingcampagne opzetten of een handige AI-tool bouwen. Je bent enthousiast, je hebt ideeën, maar dan komt er een lastige vraag om de hoek kijken: mag dit wel met die persoonsgegevens?

Inhoudsopgave
  1. Wat is een wettelijke grondslag eigenlijk?
  2. De zes hoofdverwerkingsgrondslagen van de AVG
  3. Hoe kies je nu de juiste grondslag?
  4. Praktijkvoorbeeld: een AI-bedrijf
  5. Veelgemaakte fouten en hoe je ze vermijdt
  6. Conclusie
  7. Veelgestelde vragen

In de wereld van vandaag draait alles om data. Of het nu gaat om klantengegevens, websitebezoekers of employee data, we verzamelen en verwerken continu informatie.

Maar er gelden strenge regels, en die regels staan in de Algemene Verordening Gegevensbescherming (AVG). De kern van die regels is simpel: je mag geen persoonsgegevens verwerken zonder een goede reden. Die reden heet een wettelijke grondslag. In dit artikel leg ik je uit wat dat precies is, welke opties je hebt en hoe je de juiste keuze maakt voor elke verwerking.

Wat is een wettelijke grondslag eigenlijk?

Een wettelijke grondslag is simpelweg de juridische basis die je als organisatie moet hebben om persoonsgegevens te mogen verwerken. Zonder deze basis is elke verwerking in strijd met de AVG en dat kan flink wat problemen opleveren, zoals hoge boetes.

Het is niet alleen een formaliteit; de grondslag bepaalt ook welke rechten een persoon (de betrokkene) heeft over zijn of haar eigen gegevens.

Denk aan het recht op inzage of het recht om gegevens te laten verwijderen. De grondslag is dus het fundament van alles wat je met data doet. Je kunt niet zomaar iets verzamelen en hopen dat het goedkomt. Je moet kunnen aantonen waarom het mag.

De zes hoofdverwerkingsgrondslagen van de AVG

De AVG kent zes officiële grondslagen. Deze staan allemaal beschreven in artikel 6 van de verordening.

Het is belangrijk om te weten dat je voor elke verwerking één van deze zes moet kiezen. Je kunt niet zomaar een grondslag uit je mouw schudden; je moet deze kunnen onderbouwen. Laten we ze één voor één bekijken.

1. Toestemming van de betrokkene

Dit is waarschijnlijk de meest bekende grondslag. Het betekent dat de persoon zelf expliciet toestemming heeft gegeven voor de verwerking.

Denk aan het aanvinken van een hokje bij een nieuwsbrief of het accepteren van cookies op een website. Die toestemming moet vrijwillig, specifiek en ondubbelzinnig zijn. Je kunt iemand niet zomaar ergens mee laten instemmen in een lange lap tekst. De persoon moet precies weten wat er gebeurt.

2. Uitvoering van een overeenkomst

Een voordeel is dat de persoon de toestemming ook altijd weer kan intrekken. Een nadeel is dat het een lastige grondslag kan zijn om te bewijzen.

Je moet kunnen aantonen dat iemand echt ja heeft gezegd. Het is dus niet de enige optie en zeker niet altijd de beste. Deze grondslag is heel logisch en komt veel voor.

Als iemand iets bij je koopt, een dienst afneemt of een account aanmaakt, is er sprake van een overeenkomst.

3. Nakomen van een wettelijke verplichting

Om die overeenkomst uit te voeren, moet je soms gegevens verwerken. Denk aan het verwerken van een naam en adres voor een levering, of een e-mailadres voor een factuur. De verwerking mag alleen plaatsvinden voor zover dit echt nodig is om de overeenkomst na te komen.

Je kunt niet zomaar extra gegevens verzamelen onder het mom van een overeenkomst. Als je een boek verkoopt, heb je het adres nodig, maar niet de geboortedatum van de koper.

Soms ben je als organisatie wettelijk verplicht om bepaalde gegevens te verwerken. Dit is een sterke grondslag, want je hebt geen keuze.

4. Bescherming van vitale belangen

Denk aan de plicht om belastingaangifte te doen en daarvoor klantgegevens te bewaren. Of aan de verplichting om bepaalde gegevens te melden bij de overheid, zoals bij een datalek. Je moet wel kunnen aantonen dat die wettelijke verplichting daadwerkelijk bestaat.

Het is niet genoeg om te zeggen "we denken dat het moet".

Er moet een specifieke wet zijn die dit voorschrijft. Deze grondslag is voor noodsituaties. Hij mag alleen worden gebruikt als iemands leven of gezondheid op het spel staat en die persoon zelf geen toestemming kan geven. Denk aan een slachtoffer van een ongeval dat bewusteloos is en naar het ziekenhuis moet.

5. Taak van algemeen belang of openbaar gezag

Dan mogen artsen de gegevens van die persoon verwerken om hulp te verlenen. In de dagelijkse praktijk van de meeste bedrijven komt deze grondslag zelden voor.

Het is vooral relevant voor zorginstellingen en hulpdiensten. Deze grondslag is voor organisaties die een publieke taak uitvoeren, zoals gemeenten, scholen of waterschappen. Zij mogen gegevens verwerken als dat nodig is voor die publieke taak.

Bijvoorbeeld een gemeente die gegevens gebruikt voor de uitgifte van paspoorten of het innen van belastingen.

6. Gerechtvaardigd belang

Commerciële bedrijven kunnen deze grondslag meestal niet gebruiken, tenzij ze een specifieke overheidsopdracht uitvoeren. Dit is de meest flexibele en veelgebruikte grondslag in de praktijk. Het idee is dat je als organisatie een belang hebt bij de verwerking, en dat dit belang zwaarder moet wegen dan het privacybelang van de betrokkene.

Dit klinkt misschien een beetje vaag, maar het is heel logisch. Denk aan fraudebestrijding, het beveiligen van je systemen of het doen van marketing aan bestaande klanten.

Om deze grondslag te gebruiken, moet je een belangenafweging maken. Je moet kunnen uitleggen wat je belang is, waarom de verwerking nodig is en hoe je de impact op de privacy van de persoon beperkt. Je moet ook transparant zijn en de persoon de mogelijkheid geven om bezwaar te maken.

Hoe kies je nu de juiste grondslag?

Het kiezen van de juiste grondslag is niet moeilijk als je een logische volgorde aanhoudt. Vraag jezelf af:

  • Is er een specifieke wet die mij verplicht om deze gegevens te verwerken? Zo ja, dan is de wettelijke verplichting je grondslag.
  • Is de verwerking nodig om een overeenkomst met de persoon uit te voeren? Zo ja, dan is de uitvoering van de overeenkomst je grondslag.
  • Is er sprake van een noodsituatie waarin iemands vitale belangen op het spel staan? Dan is dat je grondslag.
  • Voer je een publieke taak uit? Dan is de taak van algemeen belang je grondslag.
  • Is er geen van bovenstaande van toepassing, maar heb je wel een goede reden om de gegevens te verwerken? Dan is een gerechtvaardigd belang de logische optie.
  • Als geen van bovenstaande past, kun je nog altijd toestemming vragen. Maar bedenk goed of dat de beste keuze is, want toestemming is kwetsbaar en kan altijd worden ingetrokken.

Praktijkvoorbeeld: een AI-bedrijf

Laten we een praktijkvoorbeeld bekijken. Stel, je hebt een bedrijf dat AI-oplossingen en consultancy aanbiedt, zoals JEX.

Je wilt een sales acceleration tool bouwen die klantgegevens analyseert om betere verkoopkansen te vinden. Welke grondslag kies je? De meest logische grondslag is hier gerechtvaardigd belang. Je hebt als bedrijf een belang bij het verbeteren van je dienstverlening en het helpen van klanten om meer omzet te genereren.

Dit belang is gerechtvaardigd, zolang je maar zorgvuldig omgaat met de gegevens. Je moet een belangenafweging maken als klein bedrijf: het belang van je bedrijf en je klanten wegen af tegen het privacybelang van de personen wiens gegevens je analyseert.

Je kunt dit doen door de gegevens te anonimiseren, alleen de minimaal benodigde gegevens te gebruiken en de personen goed te informeren over wat je doet.

Stel nu dat je voor diezelfde tool expliciete toestemming nodig hebt van de klanten van je klanten. Dan moet je die toestemming apart vragen en vastleggen. Maar in de meeste gevallen is gerechtvaardigd belang de betere en sterkere grondslag.

Veelgemaakte fouten en hoe je ze vermijdt

Een veelgemaakte fout is het zomaar kiezen van een grondslag zonder deze goed te onderbouwen.

Denk aan het claimen van een gerechtvaardigd belang zonder een belangenafweging te maken. Of het vragen van toestemming op een manier die niet vrijwillig is, zoals "je moet akkoord gaan om onze site te gebruiken". Dit soort fouten leidt tot boetes en reputatieschade. Een andere fout is het combineren van meerdere grondslagen voor één verwerking. Dit mag niet.

Je moet voor elke verwerking één duidelijke grondslag kiezen. Als je twijfelt, is het verstandig om een privacy-expert in te schakelen of een tool te gebruiken die je helpt bij het maken van de juiste keuze.

Conclusie

De wettelijke grondslag is de hoeksteen van elke AVG-conforme verwerking. Het is niet iets dat je kunt negeren of improviseren. Door de zes grondslagen te begrijpen en een logische volgorde te volgen, kun je voor elke verwerking de juiste keuze maken. Of je nu een AI-tool bouwt, een marketingcampagne opzet of gewoon klantgegevens beheert, zorg dat je weet waarom het mag. Zo bouw je niet alleen aan een AVG-conforme organisatie, maar ook aan vertrouwen bij je klanten en gebruikers. En dat is uiteindelijk wat telt.

Veelgestelde vragen

Wat houdt de ‘wettelijke grondslag’ precies in?

Een wettelijke grondslag is de juridische basis die een organisatie nodig heeft om persoonsgegevens te mogen verwerken. Zonder deze basis is elke verwerking in strijd met de AVG en kan dit leiden tot boetes. Het is dus cruciaal om te weten welke grondslag van toepassing is op elke specifieke verwerking.

Welke verschillende soorten grondslagen kent de AVG?

De Algemene Verordening Gegevensbescherming (AVG) kent zes officiële grondslagen voor het verwerken van persoonsgegevens. Deze omvatten toestemming, het nakomen van een wettelijke verplichting, de uitvoering van een overeenkomst en in beperkte mate, vitaal belang, algemeen belang of een gerechtvaardigd belang.

Wat betekent ‘toestemming’ in de context van de AVG?

Toestemming betekent dat een persoon expliciet en vrijwillig heeft ingestemd met de verwerking van zijn of haar persoonsgegevens. Deze toestemming moet specifiek zijn voor de verwerking en de persoon moet precies weten waar hij of zij toestemming voor geeft, zonder dat het een lange, onduidelijke tekst is.

Wanneer kan ‘uitvoering van een overeenkomst’ een wettelijke grondslag zijn?

De ‘uitvoering van een overeenkomst’ is een wettelijke grondslag wanneer de verwerking van persoonsgegevens noodzakelijk is om een overeenkomst met de betrokkene na te komen, zoals een aankoop of een dienst. De persoon heeft altijd het recht om zijn toestemming te herroepen, maar het is belangrijk om te aantonen dat de verwerking direct verband houdt met de overeenkomst.

Wat is het verschil tussen een ‘wettelijke grondslag’ en een ‘bedrijfsregel’?

Een wettelijke grondslag is een juridische basis die gebaseerd is op de AVG. Een bedrijfsregel is een interne regel die een organisatie hanteert. De grondslag bepaalt de basis voor de verwerking, terwijl de bedrijfsregel de details van de verwerking beschrijft.

Lees ook
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden? Hoe maak je stap voor stap een verwerkingsregister als ZZP'er in 2026? Welke gegevens horen er precies in een verwerkingsregister thuis? Verwerkingsregister voorbeeld voor een kleine webshop in Nederland Verwerkingsregister voorbeeld voor een freelance marketeer of tekstschrijver Verwerkingsregister voorbeeld voor een kapper of schoonheidssalon
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Verwerkingsregister documentatieplicht

Bekijk alle 38 artikelen in deze categorie.

Naar categorie →
Lees volgende
Wat is een verwerkingsregister en waarom moet jouw bedrijf er een bijhouden?
Lees verder →