Op 28 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. De AVG is een Europese verordening die de regels voor de verwerking van persoonsgegevens door bedrijven en overheidsinstanties in de hele Europese Unie standaardiseert.

Sinds de invoering van de AVG zijn bedrijven zich bewuster geworden van privacyregels. Ter voorkoming van aansprakelijkheid en boetes gaat binnen de bouwsector een stroom aan persoonsgegevens door de keten. In sommige gevallen worden zoveel mogelijk gegevens gevraagd van onderaannemers en wordt geen onderscheid gemaakt tussen verschillende soorten werknemers of zzp’ers. 

De vraag is hoe je bepaalt welke gegevens mogen worden verwerkt. In dit artikel gaan we in op de regels die de AVG hierbij geeft.

Artikel 6 van de AVG geeft zes grondslagen voor het rechtmatig verwerken van persoonsgegevens:

Deze grondslag wordt nog vaak gebruikt, terwijl dit niet altijd rechtmatig is. Toestemming moet namelijk vrij gegeven zijn; dit is in het geval van een machtsverhouding lastig aan te tonen. Een werknemer kan zijn werkgever bijvoorbeeld moeilijk weigeren om toestemming te geven voor de verwerking van persoonsgegevens. Toestemming vragen heeft in dergelijke gevallen daarom meestal weinig zin.

Deze grondslag biedt meestal een betere uitkomst. Je kunt immers geen overeenkomst met een onderaannemer uitvoeren als je zijn naam niet in je administratie opneemt.

Deze grondslag verplicht iemand om persoonsgegevens te verwerken. Een belangrijk voorbeeld hiervan is ‘de Uitvoeringsregeling verplicht gebruik BSN’. Een onderaannemer en een uitlener zijn verplicht om aan de aannemer en inlener het BSN-nummer te verstrekken van de medewerkers die zij in loondienst hebben.

Deze en de twee volgende grondslagen zullen wat minder snel belangrijk zijn. De grondslag vitale belangen ziet op de verwerking van persoonsgegevens in het belang van iemands leven of gezondheid.

Algemeen belang ziet op de uitoefening van een wettelijke taak van algemeen belang. Bijvoorbeeld de gemeente die de veiligheid bewaakt via cameratoezicht.

Wanneer je een belang hebt dat zo zwaar weegt dat je inbreuk moet maken op de persoonsgegevens van anderen, kun je je beroepen op een gerechtvaardigd belang. Dit kan bijvoorbeeld het tegengaan van fraude en oplichting zijn.

In sommige gevallen is het mogelijk om een beroep op één van de laatste drie gronden te doen, maar zoals gezegd, is de kans van slagen groter met een beroep op de eerste drie gronden.

Het is belangrijk om zoveel mogelijk gegevens te verzamelen om aansprakelijkheid en boetes te voorkomen, maar daarbij mogen de grenzen van de AVG niet worden overschreden. Er moet altijd sprake zijn van één van de 6 grondslagen om persoonsgegevens te mogen verwerken.

Docsure helpt je bij het bepalen van welke persoonsgegevens mogen en moeten worden vastgelegd. Lees zeker ons artikel over het opslaan van het identiteitsbewijs en het BSN. Zo voorkom je boetes wegens het te weinig óf te veel vastleggen van persoonsgegevens. 

Voor meer inhoudelijke informatie over de AVG en de grondslagen verwijzen we je naar de website van de Autoriteit Persoonsgegevens.