Introduction
Op 4 oktober 2024 deed het Hof van Justitie van de Europese Unie (hierna: het ‘Hof’) een belangrijke uitspraak over de toepassing van de Algemene Verordening Gegevensbescherming (AVG). Deze uitspraak biedt meer duidelijkheid over hoe organisaties in Nederland gerechtvaardigd belang kunnen aanvoeren als wettelijke grondslag voor de verwerking van persoonsgegevens, bijvoorbeeld in situaties waarin expliciete toestemming van betrokkenen niet mogelijk is.
De uitspraak benadrukt dat een beroep op gerechtvaardigd belang niet lichtzinnig moet worden opgepakt; organisaties moeten dit grondig onderbouwen en kunnen aantonen dat de verwerking voldoet aan strikte voorwaarden. Tegelijkertijd biedt de uitspraak kansen voor organisaties om, wanneer aan alle voorwaarden is voldaan en voldoende maatregelen zijn getroffen, persoonsgegevens rechtmatig te kunnen verwerken.
Enkele dagen na de uitspraak, op 8 oktober 2024, publiceerde het Europees Comité voor gegevensbescherming (EDPB) nieuwe richtlijnen betreffende het verwerken van persoonsgegevens op basis van gerechtvaardigd belang. In dit artikel bespreken we de belangrijkste overwegingen van het Hof, delen we praktijkvoorbeelden om deze rechtsgrond correct te implementeren en geven we op basis van de EDPB-richtlijnen een vijf-stappenplan voor het toepassen van gerechtvaardigd belang binnen uw organisatie.
KNLTB tegen Autoriteit Persoonsgegevens, C-621/22
Waar ging de zaak over? – gerechtvaardigd belang en de verkoop van persoonsgegevens
De procedure bij het Hof draaide om een geschil tussen de Koninklijke Nederlandse Lawn Tennisbond (KNLTB) en de Autoriteit Persoonsgegevens (AP). De KNLTB had zonder toestemming de persoonsgegevens van 350.000 leden, waaronder namen, adressen, telefoonnummers en e-mailadressen, verkocht aan sponsoren, waaronder de grootste aanbieder van kansspelen in Nederland. Dit leidde tot een boete van de AP wegens schending van de AVG, omdat de AP oordeelde dat het delen van deze gegevens niet was toegestaan zonder expliciete toestemming van de leden.
Volgens de AP kan een gerechtvaardigd belang op grond van artikel 6, lid 1, onder f) van de AVG alleen gebaseerd zijn op een belang dat expliciet in de wet is vastgelegd. De KNLTB was het hier niet mee eens. De KNLTB voerde aan dat de verkoop van de persoonsgegevens het belang diende om de relatie met haar leden te versterken door hen extra voordelen te bieden via partners. Volgens de KNLTB rechtvaardigde dit belang het gebruik van gerechtvaardigd belang als rechtsgrond voor de verwerking van persoonsgegevens onder de AVG. Over dit twistpunt werden vragen gesteld aan Hof, een instantie die onder andere de taak heeft om de correcte en uniforme toepassing van EU-recht in alle lidstaten te waarborgen.
Wat oordeelde het Hof? – commercieel belang een gerechtvaardigd belang onder de AVG
Het Hof oordeelde dat de AP een te beperkte uitleg gaf aan het begrip “gerechtvaardigd belang” in artikel 6, lid 1, onder f) van de AVG. Het Hof verduidelijkt dat commerciële belangen in principe kunnen kwalificeren als een gerechtvaardigd belang, op voorwaarde dat aan bepaalde criteria wordt voldaan. Zo moet de verwerking van persoonsgegevens strikt noodzakelijk zijn om het beoogde doel te bereiken, en mag er geen andere, minder ingrijpende manier zijn om hetzelfde doel te realiseren. Bovendien moeten de rechten en vrijheden van de betrokkenen niet zwaarder wegen dan het belang van de organisatie, waarbij rekening wordt gehouden met de redelijke verwachtingen van de betrokkenen en de aard en omvang van de gegevensverwerking.
Hoewel het Hof de mogelijkheid van commerciële belangen als gerechtvaardigd belang erkende, betekent dit niet dat de boete die aan de KNLTB is opgelegd automatisch onterecht is of wordt kwijtgescholden. Het Hof heeft namelijk geen uitspraak gedaan over de specifieke rechtmatigheid van de gegevensverwerking door de KNLTB, maar heeft enkel verduidelijking gegeven over de interpretatie van “gerechtvaardigd belang” in het kader van de AVG. Het is nu aan de rechtbank Amsterdam om te oordelen of het belang waarop de KNLTB zich beroept, daadwerkelijk kan worden aangemerkt als een gerechtvaardigd belang en of de verwerking voldeed aan de eisen van de AVG.
Richtlijnen van de EDPB over gerechtvaardigd belang als rechtsgrond
Wat zeggen de EDPB-richtlijnen over gerechtvaardigd belang in de AVG?
Het Europees Comité voor gegevensbescherming (EDPB) publiceerde vier dagen na de uitspraak van het Hof in de KNLTB-zaak een aantal richtlijnen. Deze richtlijnen bieden nadere verduidelijking over hoe organisaties het begrip “gerechtvaardigd belang” als rechtsgrond kunnen toepassen voor gegevensverwerking. In overeenstemming met de uitspraak van het Hof, stellen de richtlijnen dat organisaties aan drie cumulatieve voorwaarden moeten voldoen om gerechtvaardigd belang op een juiste manier te gebruiken:
- Gerechtvaardigd belang: er moet sprake zijn van een legitiem belang van de verwerkingsverantwoordelijke of een derde. Dit belang moet concreet en niet in strijd met de wet zijn.
- Noodzakelijkheid en subsidiariteit van de verwerking: de verwerking moet noodzakelijk zijn om het beoogde belang te bereiken. Dit houdt in dat er geen minder ingrijpende alternatieven beschikbaar mogen zijn die hetzelfde doel kunnen realiseren. Het principe van minimale gegevensverwerking moet hierbij in acht worden genomen.
- Belangenafweging: de belangen, rechten en vrijheden van de betrokkenen mogen niet zwaarder wegen dan het belang van de verwerkingsverantwoordelijke. Organisaties moeten een grondige belangenafweging maken waarbij rekening wordt gehouden met de redelijke verwachtingen van de betrokkenen, bijvoorbeeld of zij hadden kunnen voorzien dat hun gegevens voor het specifieke doel zouden worden gebruikt.
De EDPB benadrukt dat gerechtvaardigd belang niet mag worden gebruikt als een “vangnet” wanneer andere rechtsgronden, zoals toestemming of de uitvoering van een contract, niet van toepassing zijn. Organisaties moeten zorgvuldig documenteren waarom deze rechtsgrond wordt gebruikt en moeten kunnen aantonen dat zij de juiste afwegingen hebben gemaakt om te voldoen aan de AVG, om zo het risico op boetes en andere sancties te minimaliseren.
Het uitvoeren van een Legitimate Interest Assessment (LIA)
Het voldoen aan de voorwaarden voor een beroep op gerechtvaardigd belang vereist een grondige en gedetailleerde analyse, die wordt uitgewerkt en gedocumenteerd in een zogenoemde Legitimate Interest Assessment (LIA).1 In een LIA worden de drie bovengenoemde voorwaarden systematisch beoordeeld en vastgelegd om de rechtmatigheid van de gegevensverwerking te onderbouwen. Door een LIA uit te voeren kunnen organisaties:
- Beoordelen of aan de vereiste voor een beroep op gerechtvaardigd belang wordt voldaan.
- De risico’s voor de privacy van betrokkenen identificeren en beoordelen.
- Passende maatregelen implementeren om de risico’s te beperken.
Praktijkvoorbeelden
Hieronder worden enkele praktijkvoorbeelden gegeven die laten zien hoe gerechtvaardigd belang kan worden toegepast. Let op: aan onderstaande voorbeelden kunnen geen rechten worden ontleend; ze dienen uitsluitend ter illustratie en vormen geen juridisch advies. Elke situatie moet afzonderlijk worden beoordeeld, waarbij een zorgvuldige belangenafweging en passende waarborgen essentieel zijn om te voldoen aan de vereisten van de AVG.
Praktijkvoorbeeld – digitale direct marketing naar bestaande klanten
Een winkelketen stuurt e-mails met aanbiedingen naar klanten die recent een digitale aankoop hebben gedaan. Dit kan als gerechtvaardigd belang worden gezien, omdat i) de winkeleigenaar een legitiem belang heeft om klantcontact met bestaande klanten te onderhouden, ii) hij zijn bestaande klanten niet anders kan bereiken dan via het e-mailadres wat ze hebben achtergelaten en iii) de impact voor bestaande klanten laag is als zij een e-mail ontvangen waar zij zich ook direct voor kunnen afmelden. Daarnaast speelt nog mee dat klanten redelijkerwijs kunnen verwachten dat ze dergelijke berichten ontvangen. Wel moet de mogelijkheid worden geboden om zich af te melden, zodat de verwerking aan de AVG voldoet.
Praktijkvoorbeeld – cameratoezicht voor beveiliging
Een bedrijf plaatst beveiligingscamera’s bij de ingang van haar kantoor om diefstal te voorkomen. Dit kan gerechtvaardigd zijn, omdat i) het bedrijf een legitiem belang heeft om haar eigendommen en de veiligheid van personeel en bezoekers te beschermen, ii) het cameratoezicht een direct, noodzakelijk middel is om de beveiliging te waarborgen (er zijn geen minder ingrijpende alternatieven beschikbaar), en iii) er passende maatregelen zijn getroffen, zoals het beperken van het filmen tot openbare ruimtes en het duidelijk informeren van bezoekers en werknemers over het cameratoezicht. Aanvullend worden nog extra maatregelen getroffen om de privacy van werknemers en bezoeker te beschermen, zoals het hanteren van bewaartermijnen en het beperken van de toegang tot het camerasysteem.
Praktijkvoorbeeld – verkoop van klantenbestanden bij een bedrijfsovername
Bij een bedrijfsovername wordt het klantenbestand overgedragen aan de nieuwe eigenaar. Dit kan als gerechtvaardigd belang worden beschouwd, omdat i) de nieuwe eigenaar een legitiem belang heeft om de klanten te behouden en de bedrijfsactiviteiten voort te zetten, ii) de overdracht van het klantenbestand noodzakelijk is voor het waarborgen van de continuïteit van de dienstverlening, en iii) passende maatregelen zijn getroffen om de rechten van de klanten te waarborgen, zoals het tijdig informeren van de klanten en het bijwerken van de privacyverklaring. Daarnaast wordt klanten de mogelijkheid geboden om hun gegevens te laten verwijderen indien zij dit wensen.
Stappenplan voor het correct uitvoeren van een Legitimate Interest Assessment
Op basis van de EDPB-richtlijnen hebben wij een praktisch stappenplan ontwikkeld om uw organisatie te helpen bij het toepassen van gerechtvaardigd belang als rechtsgrond voor de verwerking van persoonsgegevens. Dit stappenplan leidt tot een gedocumenteerde LIA, waarmee uw organisatie de rechtmatigheid van haar verwerking kan onderbouwen.
Stap 1: identificeer het gerechtvaardigd belang
De eerste stap is om duidelijk te omschrijven welk belang uw organisatie wil nastreven door de verwerking van persoonsgegevens. Dit belang moet niet in strijd met andere wetten, concreet geformuleerd en daadwerkelijk aanwezig zijn. Voorbeelden van gerechtvaardigde belangen zijn onder andere commerciële doeleinden (zoals direct marketing), beveiliging (bijvoorbeeld cameratoezicht), fraude- en misbruikpreventie, of interne administratieve doeleinden binnen een groep van ondernemingen.
Het is belangrijk om te kunnen aantonen waarom dit belang gerechtvaardigd is, bijvoorbeeld door te verwijzen naar bedrijfsdoelen, wettelijke verplichtingen of wetenschappelijke doeleinden.
Stap 2: beoordeel de noodzaak van de verwerking
In deze stap moet de organisatie beoordelen of de verwerking van persoonsgegevens noodzakelijk is om het geïdentificeerde belang te dienen. Hierbij moet een onderscheid gemaakt worden tussen gegevens die need to have en nice to have zijn.
Ook moet in het kader van het beginsel van minimale gegevensverwerking worden beoordeeld of geen minder ingrijpende alternatieven beschikbaar zijn die hetzelfde doel zouden kunnen bereiken.
Stap 3: voer een belangenafweging uit
De belangenafweging is de belangrijkste en meest intensieve stap in het proces om gerechtvaardigd belang als rechtsgrond toe te passen. Hierbij moet de organisatie zorgvuldig de belangen, rechten en vrijheden van de betrokkenen afwegen tegen het eigen gerechtvaardigd belang. Hierbij moet rekening worden gehouden met:
- De belangen, fundamentele rechten en vrijheden van de betrokkenen: er moet worden vastgesteld welke invloed de verwerking kan hebben op de privacy en andere rechten van de betrokkenen. Dit omvat een evaluatie van mogelijke risico’s en negatieve gevolgen voor hen.
- De impact van de verwerking op de betrokkenen, waaronder:
- De aard van de gegevens: worden er gevoelige of bijzondere persoonsgegevens verwerkt, zoals informatie over ras, gezondheid of financiën? Hoe gevoeliger de gegevens, hoe groter de mogelijke impact op de betrokkenen en hoe strikter de afweging moet zijn.
- De context van de verwerking: is er bijvoorbeeld sprake van een bestaande relatie, zoals die van klant-leverancier of werkgever-werknemer? Een nauwe relatie kan de belangenafweging soms in het voordeel van de organisatie laten uitvallen, omdat de betrokkenen mogelijk meer bekend zijn met de verwerking.
- Overige gevolgen: overweeg eventuele financiële, emotionele of andere gevolgen die de verwerking voor de betrokkenen kan hebben. Hoe ernstiger de gevolgen, hoe zwaarder dit moet wegen in de afweging.
- De redelijke verwachtingen van de betrokkenen: kunnen de betrokkenen redelijkerwijs verwachten dat hun gegevens voor dit specifieke doel worden verwerkt?
- De uiteindelijke afweging van conflicterende rechten en belangen, inclusief de mogelijkheid om extra beperkende maatregelen te nemen: zelfs als het gerechtvaardigd belang op zichzelf sterk is, moet de organisatie maatregelen overwegen om de impact op de betrokkenen te beperken. Dit kan variëren van het minimaliseren van de hoeveelheid gegevens die wordt verwerkt tot het invoeren van extra beveiligingsmaatregelen.
Stap 4: pas passende waarborgen toe
Om de rechten van de betrokkenen te waarborgen, moeten organisaties passende maatregelen treffen. Deze waarborgen zorgen ervoor dat de verwerking van persoonsgegevens in lijn is met de AVG en dat de rechten van betrokkenen worden gerespecteerd. Hieronder worden enkele belangrijke waarborgen beschreven:
- Transparantie: zorg ervoor dat betrokkenen duidelijk geïnformeerd worden over de verwerking van hun gegevens. Dit kan bijvoorbeeld door middel van een begrijpelijke en toegankelijke privacyverklaring waarin wordt uitgelegd waarom en hoe de gegevens worden verwerkt, en wat de rechten van de betrokkenen zijn.
- Beveiligingsmaatregelen: neem zowel technische als organisatorische maatregelen om de veiligheid van de persoonsgegevens te waarborgen. Denk hierbij aan versleuteling van gegevens, het instellen van toegangscontroles en het uitvoeren van regelmatige beveiligingscontroles om de bescherming van de gegevens te waarborgen.
- Mogelijkheid tot bezwaar: bied betrokkenen de mogelijkheid om bezwaar te maken tegen de verwerking van hun gegevens, dit is extra belangrijk bij verwerkingen op basis van gerechtvaardigd belang. Organisaties zijn verplicht om dit recht aan betrokkenen te bieden en duidelijk te communiceren hoe zij bezwaar kunnen maken.
- Overige rechten van betrokkenen: zorg ervoor dat betrokkenen gebruik kunnen maken van andere rechten die hen onder de AVG toekomen, zoals het recht op inzage, rectificatie, beperking van de verwerking, gegevenswissing (recht op vergetelheid), en gegevensoverdraagbaarheid. Het is belangrijk dat organisaties procedures opstellen om deze rechten tijdig en adequaat te behandelen.
Stap 5: documentatie en verantwoording
De AVG vereist dat organisaties kunnen aantonen dat zij de verplichtingen uit de AVG naleven, ook wel de verantwoordingsplicht genoemd. Dit betekent dat organisaties gedetailleerde documentatie moeten bijhouden van alle stappen die zijn ondernomen om de AVG na te leven. Daarom is het essentieel om alle bovenstaande stappen goed te documenteren:
- Leg de juridische analyse vast: documenteer de redenen waarom gerechtvaardigd belang als rechtsgrond is gekozen, inclusief de juridische overwegingen die aan deze keuze ten grondslag liggen. Dit kan bijvoorbeeld verwijzen naar specifieke bedrijfsdoelstellingen of wettelijke vereisten.
- Documenteer de belangenafweging: houd een gedetailleerd verslag bij van de belangenafweging, waarbij alle factoren in aanmerking worden genomen, zoals de aard van de gegevens, de gevoeligheid ervan, de redelijke verwachtingen van de betrokkenen en eventuele maatregelen om de impact op hun rechten te minimaliseren.
- Noteer de passende waarborgen: beschrijf de waarborgen die zijn geïmplementeerd om de rechten van de betrokkenen te beschermen, zoals technische beveiligingsmaatregelen, transparantieverplichtingen, en mogelijkheden voor betrokkenen om bezwaar te maken.
- Update de privacyverklaring waar nodig: zorg ervoor dat de privacyverklaring actueel is en alle vereiste informatie bevat over de verwerking, de rechtsgrond en de rechten van de betrokkenen.
Organisaties moeten deze documentatie op verzoek kunnen overleggen aan de toezichthouder, zoals de Autoriteit Persoonsgegevens, om te laten zien dat de verwerking voldoet aan de vereisten van de AVG.
Conclusie – wat betekent gerechtvaardigd belang onder de AVG voor uw organisatie?
De uitspraak van het Hof van Justitie verduidelijkt dat commerciële belangen onder bepaalde omstandigheden kunnen worden aangemerkt als gerechtvaardigd belang volgens de AVG, mits organisaties aan strenge voorwaarden voldoen. Organisaties moeten ervoor zorgen dat de verwerking noodzakelijk is en dat de rechten van betrokkenen worden gerespecteerd. Het voldoen aan de AVG betekent niet alleen dat organisaties de richtlijnen van de EDPB moeten volgen, maar ook dat zij grondige documentatie moeten bijhouden van de gemaakte belangenafweging.
Want to know more?
Bent u benieuwd hoe uw organisatie gerechtvaardigd belang correct kan toepassen en compliant kan blijven met de AVG? Of zoekt u juridische ondersteuning bij het uitvoeren van een Legitimate Interest Assessment? Neem dan vrijblijvend contact op met Sven van Dooren of ons team via ons contactformulier.