Geen rechtsgrond, geen verwerking
De GDPR (in Nederland en Belgie ook AVG genoemd) is op dit punt glashelder: je mag persoonsgegevens alleen verwerken als je daar een geldige rechtsgrond voor hebt. Artikel 6 van de GDPR geeft je zes opties. Geen van de zes? Dan mag je de gegevens simpelweg niet verwerken.
Klinkt streng, maar in de praktijk valt het mee. De meeste MKB-bedrijven hebben met hooguit drie of vier rechtsgronden te maken. Hieronder lopen we ze allemaal door, met concrete voorbeelden zodat je direct kunt bepalen welke bij jouw verwerkingen passen.
De 6 rechtsgronden op een rij
1. Toestemming
Wanneer: als iemand je vrijwillig, specifiek en ondubbelzinnig toestemming geeft.
Voorbeeld: een websitebezoeker schrijft zich in voor je nieuwsbrief. Je plaatst marketingcookies pas nadat iemand op “accepteren” klikt.
Let op: toestemming moet echt vrij zijn. Een vooraf aangevinkt vakje telt niet. En de betrokkene kan de toestemming op elk moment intrekken, waarna je direct moet stoppen met die verwerking. Dat maakt toestemming een kwetsbare grondslag.
2. Uitvoering van een overeenkomst
Wanneer: de verwerking is nodig om een contract uit te voeren of om op verzoek van de betrokkene stappen te nemen voor het sluiten van een contract.
Voorbeeld: een klant plaatst een bestelling in je webshop. Je hebt naam, adres en betaalgegevens nodig om de bestelling te verwerken en te bezorgen. Dat mag, want het is noodzakelijk voor de uitvoering van de koopovereenkomst.
Let op: dit geldt alleen voor verwerkingen die echt noodzakelijk zijn voor het contract. De bestelling verzenden? Ja. Het e-mailadres van de klant toevoegen aan je marketinglijst? Nee, dat valt niet onder de overeenkomst.
3. Wettelijke verplichting
Wanneer: de wet verplicht je om bepaalde gegevens te verwerken of te bewaren.
Voorbeeld: je boekhouding. De belastingdienst verplicht je om facturen 7 jaar te bewaren, inclusief de klantgegevens erop. Je salarisadministratie bevat BSN-nummers omdat de wet dat vereist.
Let op: je kunt alleen een beroep doen op een concrete, specifieke wettelijke verplichting. “Het leek me verstandig” is geen wettelijke verplichting.
4. Vitaal belang
Wanneer: de verwerking is nodig om iemands leven te beschermen.
Voorbeeld: een bezoeker op je bedrijfsterrein krijgt een hartaanval en je deelt diens medische informatie met de ambulancedienst.
In de praktijk is deze grondslag voor de meeste MKB-bedrijven nauwelijks relevant. Je komt hem eigenlijk alleen tegen in de gezondheidszorg of bij noodsituaties.
5. Algemeen belang of openbaar gezag
Wanneer: de verwerking is nodig voor een taak van algemeen belang of de uitoefening van openbaar gezag.
Voorbeeld: een gemeente die persoonsgegevens verwerkt voor de uitvoering van de Wet Basisregistratie Personen.
Als MKB-ondernemer heb je met deze grondslag vrijwel nooit te maken. Dit is het terrein van overheden en publieke instellingen.
6. Gerechtvaardigd belang
Wanneer: je hebt een gerechtvaardigd belang dat opweegt tegen de privacybelangen van de betrokkene.
Voorbeeld: je analyseert bezoekersstatistieken van je website om te begrijpen welke pagina’s populair zijn. Of je plaatst camera’s bij je bedrijfspand voor inbraakpreventie. Of je stuurt een bestaande klant een e-mail over een vergelijkbaar product (soft opt-in).
Let op: je moet een belangenafweging maken. Jouw belang moet opwegen tegen de impact op de privacy van de betrokkene. Documenteer deze afweging, want de toezichthouder kan ernaar vragen.
De vier die je als MKB echt nodig hebt
In de praktijk zijn dit de rechtsgronden die je als MKB-ondernemer het vaakst gebruikt:
| Verwerking | Rechtsgrond |
|---|---|
| Nieuwsbrief versturen | Toestemming |
| Marketingcookies plaatsen | Toestemming |
| Bestelling verwerken | Overeenkomst |
| Offerte opstellen | Overeenkomst |
| Facturen bewaren (7 jaar) | Wettelijke verplichting |
| Salarisadministratie | Wettelijke verplichting |
| Website-analytics | Gerechtvaardigd belang |
| IT-beveiliging/logging | Gerechtvaardigd belang |
De meest gemaakte fout: overal toestemming voor vragen
Veel MKB-ondernemers denken: “als ik overal toestemming voor vraag, zit ik goed.” Dat is een misverstand dat je in de problemen kan brengen.
Waarom? Omdat toestemming op elk moment kan worden ingetrokken. Als een klant zijn toestemming intrekt voor een verwerking waarvoor je eigenlijk een betere grondslag had (zoals overeenkomst of wettelijke verplichting), moet je alsnog stoppen, ook al mag je de gegevens eigenlijk gewoon verwerken.
Stel: je vraagt toestemming om klantgegevens op een factuur te zetten. De klant trekt die toestemming in. Nu heb je een probleem, want je moet die gegevens bewaren van de belastingdienst. Had je meteen “wettelijke verplichting” als grondslag gekozen, dan was er niets aan de hand.
De vuistregel: gebruik toestemming alleen als er geen andere grondslag beschikbaar is. En als je toestemming vraagt, zorg dan dat het intrekken net zo makkelijk is als het geven.
Hoe documenteer je je rechtsgronden?
- Verwerkingsregister - noteer per verwerkingsactiviteit welke rechtsgrond je gebruikt
- Privacyverklaring - vermeld per verwerkingsdoel de grondslag
- Belangenafweging - maak voor elke verwerking op basis van gerechtvaardigd belang een korte schriftelijke afweging
Tip: kies je rechtsgrond voordat je begint met verwerken, niet achteraf. Achteraf een grondslag zoeken die past bij wat je al doet is niet hoe de GDPR werkt, en het is precies wat toezichthouders controleren bij inspecties.
GDPRWise helpt je de juiste rechtsgrond per verwerking te kiezen en documenteert alles automatisch in je verwerkingsregister en privacyverklaring.