Je mag persoonsgegevens niet zomaar verwerken. De AVG eist dat elke verwerking rust op één van zes grondslagen. Hier zijn ze, zonder juridisch jargon, met voorbeelden uit de praktijk.

Waarom een grondslag verplicht is

Artikel 6 van de AVG zegt het simpel: zonder geldige grondslag is een verwerking onrechtmatig. Je kiest dus vóóraf op welke van deze zes je je baseert, en dat leg je vast in je privacyverklaring en verwerkingsregister.

1. Toestemming

De betrokkene geeft actief en vrij toestemming, bijvoorbeeld een aangevinkt (niet voorgevuld) hokje voor de nieuwsbrief. Toestemming moet net zo makkelijk in te trekken zijn als te geven.

2. Uitvoering van een overeenkomst

Je hebt de gegevens nodig om een contract uit te voeren. Een webshop heeft het adres nodig om te leveren, daar is geen aparte toestemming voor nodig.

3. Wettelijke verplichting

Een wet verplicht je gegevens te verwerken. Denk aan de fiscale bewaarplicht van zeven jaar voor facturen.

4. Vitaal belang

Verwerking om iemands leven te beschermen. Zeldzaam voor websites, relevant in bijvoorbeeld de zorg.

5. Algemeen belang of openbaar gezag

Vooral voor overheidsorganisaties die een publieke taak uitvoeren.

6. Gerechtvaardigd belang

Je hebt een legitiem belang dat zwaarder weegt dan de privacy-impact, bijvoorbeeld basis-beveiliging of fraudepreventie. Let op: hiervoor moet je een belangenafweging maken en die kunnen onderbouwen.

Welke kies je?

Voor de meeste websites geldt een mix: een overeenkomst voor bestellingen, toestemming voor marketing en tracking, en een wettelijke verplichting voor je administratie. Twijfel je? Onze generator stelt de juiste vragen en koppelt automatisch de passende grondslag aan elke verwerking. Meer weten over toestemming bij tracking? Lees onze uitleg over de cookiebanner.