Voor organisaties die AI-systemen ontwikkelen of inzetten, is het voorbereiden van compliance waarschijnlijk zowel een complex als veeleisend proces, in het bijzonder voor de organisaties die te maken hebben met hoog risico systemen. Maar compliance moet niet gezien worden als alleen een checklist met punten om af te vinken. Het is een kans om voorop te lopen bij verantwoordelijke AI-innovatie en zo vertrouwen op te bouwen bij zowel gebruikers als regelgevers. 

Door compliance te omarmen als katalysator voor een meer transparant gebruik van AI, kunnen bedrijven de regelgevende eisen omzetten in een concurrentievoordeel. 

Voordat we in de specifieke vereisten van de essentiële compliancestrategieën duiken, geven we eerst een kort overzicht van de belangrijkste punten die we eerder hebben besproken: 

De EU AI Act wordt in augustus 2026 van kracht

Er zijn bepaalde bepalingen die al eerder in werking treden, zoals het verbod op systemen die ongeoorloofde functies uitvoeren. Het is belangrijk dat organisaties ervoor zorgen dat ze zichzelf voldoende tijd en middelen gunnen om aan alle aspecten van de AI Act implementatiedeadlines te voldoen. 

Voor meer gedetailleerde tips over de deadlines, de risicogebaseerde classificatie en de nalevingsverplichtingen, kunt u de eerdere delen van deze blogserie lezen: 

Naleving van de AI Act blogserie

• Naleving van de AI Act: Wat u moet weten
• Naleving van de AI Act Deel 2: Wat is een activiteit met een ‘hoog risico’?
• Compliance met de AI Act Deel 3: Wie moet deze regels naleven en wat zijn de verplichtingen precies?

Laten we nu eens kijken naar een aantal essentiële strategieën die u kunt implementeren ter ondersteuning van uw naleving van de AI Act. 

Essentiële strategieën voor naleving van de AI Act 

1. Bewust maken en trainen van personeel

Alle organisaties die van plan zijn om AI-systemen te gaan gebruiken, in welke hoedanigheid dan ook, zouden wat tijd moeten besteden aan het overdenken van de potentiële impact van die systemen en aan het bewust maken en trainen van de werknemers. 

Training is essentieel om ervoor te zorgen dat alle teamleden hun rol voor de naleving begrijpen en goed toegerust zijn om de vereisten van de AI Act te implementeren. 

Een compleet trainingsprogramma moet de belangrijkste vereisten van de AI Act uitleggen en rolspecifieke informatie opnemen. AI-ontwikkelaars hebben bijvoorbeeld een grondigere technische training nodig, waar Compliance Officers zich meer kunnen richten op de documentatie en wettelijke verplichtingen. 

Het trainingsprogramma voor de werknemers moet toegesneden zijn op de specifieke risico’s die horen bij het soort gegevens dat verwerkt wordt en het beoogde gebruik van het systeem. Bijvoorbeeld: werknemers die werken met systemen die een grotere impact hebben op individuen, zoals systemen die beslissingen nemen over de kredietwaardigheid, hebben wellicht een meer uitgebreide training nodig dan werknemers die verantwoordelijk zijn voor minder gevoelige functies. 

2. Zorg voor een sterke governance 

Voor organisaties die systemen leveren of inzetten die geclassificeerd zijn als hoog risico of als General Purpose AI (GPAI), is het zorgen voor een sterke governance essentieel om naleving aan te tonen en te onderhouden. Zonder bepaalde elementen zullen organisaties met de specifieke vereisten van de AI Act worstelen en wellicht niet de benodigde nalevingsdocumentatie bijhouden. 

Om deze sterke basis van governance op te bouwen en te behouden, dienen organisaties goed te letten op de volgende belangrijke gebieden: 

• Implementeren van effectieve risico- en kwaliteitsbeheersystemen 
  Deze systemen zijn van cruciaal belang voor het toezicht op en het minimaliseren van de risico’s en om ervoor te zorgen dat problemen zo snel mogelijk vastgesteld en opgelost kunnen worden 

• Zorgen voor robuuste cyberbeveiliging en gegevensbescherming, zodat gevoelige persoonsgegevens beveiligd en beschermd zijn tegen datalekken 

• Ontwikkelen van verantwoordelijkheidsstructuren met duidelijke lijnen van verantwoordelijkheid, zodat de inspanningen op het gebied van naleving goed gecoördineerd en effectief zijn 

Monitoren van de AI-systemen op een regelmatige en doorlopende basis, en rapporteren over de prestaties en nalevingsstatus 

Het belang van robuuste cyberbeveiliging en gegevensbescherming 

Om te voldoen aan de strenge vereisten van de AI Act, dienen organisaties prioriteit te geven aan een sterke cyberbeveiliging en gegevensbescherming. Dit houdt in dat er effectieve risico- en kwaliteitsbeheersystemen worden ingevoerd, tot in de kern van uw activiteiten.  

Zonder deze praktijken lukt het organisaties wellicht niet om te voldoen aan de specifieke vereisten van de AI Act en zal het lastig worden om de overige vereiste nalevingsdocumentatie op te leveren en bij te houden. 

Wat betreft de cyberbeveiliging moet de uitvoering bestaan uit het implementeren van een robuuste infrastructuurbeveiliging met strikte toegangscontroles, een gedetailleerd plan hoe te reageren op een incident, en het regelmatig uitvoeren van beveiligingsaudits om kwetsbaarheden op te sporen. 

Wat betreft de vereisten voor gegevensbescherming van de AI Act, komen deze op een aantal gebieden en wat betreft belangrijke principes overeen met de Algemene Verordening Gegevensbescherming (AVG), met name wat betreft transparantie en verantwoordelijkheid. 

Waar de AVG gericht is op het beschermen van persoonsgegevens, gaat de AI Act over de bredere ontwikkeling en regulering van AI-systemen. Dit omvat niet alleen het beveiligen van persoonsgegevens, maar ook het beheersen van de algehele AI-risico’s om zo de eerlijkheid te waarborgen, schade te voorkomen en transparantie te stimuleren. 

U kunt de principes van de AVG en de huidige gegevensbeschermingspraktijken gebruiken als ondersteuning van de naleving van de AI Act door ‘Privacy by Design’ te integreren in uw AI-systemen, impact assessments uit te voeren voor AI-toepassingen met een hoog risico, en door een duidelijke documentatie bij te houden van de gegevensbeschermingsactiviteiten. 

3. Bereid u voor op de komende richtlijnen en templates 

Beschikbaar in de komende maanden – De EU ontwikkelt specifieke praktijkcodes en documentatietemplates om organisaties te helpen om te voldoen aan hun nalevingsverplichtingen.  

We zullen hierover updates geven in toekomstige blogposts zodra deze beschikbaar komen. 

4. U houden aan de ethische AI-principes en -praktijken

Hoewel de richtlijnen en praktische toepassingen van de AI Act nog gedefinieerd moeten worden, zijn de kernprincipes al duidelijk en weergegeven in verschillende verantwoordelijke en ethische AI-kaders. Voor organisaties die overwegen significant gebruik te maken van AI – met name als daar persoonsgegevens bij betrokken zijn of als het invloed heeft op individuen – is het van cruciaal belang om te begrijpen hoe een AI-systeem werkt, wat het beoogde doel is en wat de beperkingen ervan zijn. Deze aspecten documenteren is niet alleen in lijn met best practices, maar is ook een goede basis voor verantwoordelijkheid. 

Organisaties moeten er ook voor zorgen dat ze de transparantievereisten naleven onder de bestaande privacywetgeving, naast de specifieke vereisten van de AI Act. 

Daarnaast is het essentieel om een risicobeoordeling uit te voeren wat betreft de mogelijke impact van het AI-systeem op zowel individuen die het gebruiken als op de verantwoordelijkheid en reputatie van de organisatie mocht er iets misgaan. Deze proactieve benadering van AI-governance is zeer nuttig en kan voor het grootste deel geïmplementeerd worden zonder dat het nodig is dit toe te spitsen op specifieke regelgeving. 

5. Maak gebruik van de hulp van een expert  

Er zijn bepaalde middelen beschikbaar die u kunnen helpen bij uw nalevingstraject. 

De EU AI Act Compliance Checker is een tool die is ontworpen om organisaties te helpen verifiëren dat het AI-systeem voldoet aan de regelgevende vereisten. 

Maar let op: de nuances van de AI Act zijn complex. We raden daarom alle organisaties die twijfelen aan de reikwijdte van hun verplichtingen aan om het advies van een professional in te winnen. 

De belangrijkste punten 

• Om naleving van de AI Act te garanderen, moeten organisaties zich richten op kritieke gebieden, zoals het trainen van medewerkers, een robuuste governance en sterke cyberbeveiliging en gegevensbeschermingsmaatregelen 
• Het opnemen van ethische AI-principes en het behouden van de transparantie zijn essentiële factoren waar bedrijven rekening mee moeten houden bij het ontwikkelen van AI-systemen, vooral voor systemen die impact hebben op individuen en die persoonsgegevens verwerken 
• Hoewel de praktische richtlijnen voor de Act nog moeten verschijnen, kunnen bedrijven deze strategieën al proactief implementeren en zich voorbereiden op toekomstige updates   
  

Samenvattend: Vooruitlopen op de AI-wetgeving draait niet enkel om compliance – het is een kans om vertrouwen op te bouwen en koploper te worden op het gebied van verantwoordelijke AI-innovaties. 

Het DPO Centre heeft een volledige AI Audit en Impact Assessment service ontwikkeld. Als u ondersteuning nodig heeft bij het starten of met zelfvertrouwen voortzetten van uw AI-nalevingsinspanningen, neem dan contact met ons op. 

Dit hebt u misschien gemist… 

• Naleving van de AI Act: Wat u moet weten
• Naleving van de AI Act Deel 2: Wat is een activiteit met een ‘hoog risico’?
• Compliance met de AI Act Deel 3: Wie moet deze regels naleven en wat zijn de verplichtingen precies?

Volg het DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Naleving van de AI-wet Deel 4: Essentiële strategieën appeared first on DPO Centre.

Zaak geschiedenis

In 2019 legde de Autoriteit Persoonsgegevens (AP) de Koninklijke Lawn Tennis Bond (KNLT) een boete op van €525.000 voor het onrechtmatig beroep op Legitieme Belangen als rechtsgrondslag voor het delen van de gegevens van haar leden met sponsors voor promotioneel gebruik. AP voerde aan dat het commerciële belang van KNLT niet voldoet aan de GDPR. KNLT ging in beroep en de rechtbank Amsterdam verwees de zaak naar het CJEU.

Beslissing CJEU

Deze belangrijke beslissing zal naar verwachting meer flexibiliteit bieden voor bedrijven bij het verwerken van persoonsgegevens voor commerciële doeleinden.

Het CJEU benadrukt echter dat de verwerkingsverantwoordelijken ook:

• Vaststellen dat de verwerking noodzakelijk is
• Een afweging maken
• Passende transparantiemaatregelen moeten treffen
• Ervoor zorgen dat betrokkenen te allen tijde bezwaar kunnen maken tegen gegevensverwerking

Pascal Bodang, DPO at The DPO Centre, said ‘Er wordt daarmee een brede uitleg aan het begrip gegeven. Hoewel deze uitspraak duidelijkheid brengt in een langlopende discussie is het belangrijk om zorgvuldig te werk te gaan bij gegevensverwerkingen die gebaseerd zijn op de grondslag ‘gerechtvaardig belang’. Het is een blijft maatwerk waarbij de vereisten uit de AVG in acht genomen moeten worden. Een passende en evenwichtige belangenafweging (LIA) is daarvoor essentieel. In dat kader is het van belang om de laatste EDPB Guidelines over de grondslag gerechtvaardigd belang in acht te nemen‘

The post CJEU valideert commerciële belangen onder GDPR appeared first on DPO Centre.

Een checklist gegevensbescherming voor fusies en overnames is een nuttige tool om beide partijen (verwervende en aankopende partij) te helpen begrijpen welke documenten vereist zijn voor het aantonen van compliance met de gegevensbeschermingswetgeving. 

Verkopers moeten een uitgebreide documentatie bijhouden van alle gegevensbeschermingsprocessen en -beleid. Dit geeft de koper een duidelijk beeld, waardoor het vertrouwen toeneemt en het due diligence-proces soepel kan verlopen. 

Kopers dienen de gegevensbeschermingspraktijken van de verkoper grondig te bestuderen en de bijbehorende risico’s en verantwoordelijkheden te beoordelen. Een systematische beoordeling van de documentatie kan helpen bij het ophelderen van problemen, maakt geïnformeerde beslissingen mogelijk en helpt bij de integratie van de gegevensverwerking na de acquisitie. 

In deze blogpost bespreken we het belang van gegevensbeschermingscompliance voor M&A-transacties en geven we een checklist voor een aantal van de belangrijkste documentatie die up-to-date en op orde dient te zijn. De checklist verwijst naar compliance met de AVG, die van toepassing is voor organisaties die gegevens verwerken van personen in de EU en/of het VK. Voor organisaties in andere jurisdicties is lokale gegevensbeschermingswetgeving van toepassing. 

Maar laten we eerst eens kijken wat voor effect gegevensbescherming kan hebben op het sluiten van een deal en een aantal van de lessen die je kunt trekken uit de overname van Starwoord Hotels door het bekende Marriott. 

Wat voor invloed kwesties rondom gegevensbescherming kunnen hebben op het sluiten van de deal

Een onderzoek uit 2019 met meer dan 500 M&A-medewerkers in Europa, het Midden-Oosten en Afrika (EMEA), uitgevoerd door Euromoney Though Leadership Consulting, liet zien dat de Algemene Verordening Gegevensbescherming (AVG) voor veel organisaties een significante impact had op het M&A-proces. 

55% van de M&A-medewerkers uit het onderzoek bevestigde dat er onderhandelingen zijn geweest die mislukten vanwege zorgen rondom de gegevensbescherming- en AVG-compliance van het over te nemen bedrijf. Het onderzoek verdeelde dit verder onder in verschillende regio’s: 

• Meer dan 70% in Duitsland 
• Meer dan 65% in Scandinavië 
• Meer dan 60% in het VK 

Of u nu een bedrijf verkoopt of verwerft, een grondige audit van de gegevensbescherming is van essentieel belang. Het vermindert niet alleen de risico’s, maar garandeert ook dat zowel het verwervende als het aangekochte bedrijf zich houden aan de wettelijke verplichtingen. 

De belangrijkste privacyles van de fusie tussen hotelketens Starwood door Marriott

In 2016 verwierf Marriott International de Starwood Hotels & Resorts Worldwide, waardoor de grootste hotelketen ter wereld ontstond. Aangezien Starwood Hotels actief bleef, nam Marriott International ook alle lopende verantwoordelijkheden over waar Starwood mogelijk mee te maken had. 

De overname was succesvol, maar kort na de fusie ontdekte Marriott een enorm datalek in het reserveringssysteem van Starwood. 

Dit lek heeft grote gevolgen gehad voor de reputatie van Marriott en leidde ook tot significante financiële verliezen. 

Door het lek kwamen gevoelige gegevens van bijna 500 miljoen gasten op straat te liggen, waaronder informatie als namen, adressen, paspoortnummers en gegevens van betaalkaarten. 

Het is belangrijk om op te merken dat het lek al jaren gaande was voordat het ontdekt werd, waardoor duidelijk werd dat er tijdens het due diligence-proces van de M&A-transactie iets zeer essentieels over het hoofd was gezien. 

Due diligence en compliance met de AVG

De Marriott-Starwood-fusie vond plaats voordat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Maar deze fusie wordt wel gebruikt als voorbeeld van wat er kan gebeuren als een overname plaatsvindt zonder een voorafgaande zeer grondige beoordeling van de gegevensbeveiligingspraktijken van het bedrijf dat wordt overgenomen. 

Marriott had een uitgebreide audit moeten uitvoeren van Starwoods systemen en diens gegevensverwerkingsprocedures en cyberbeveiligingsmaatregelen. 

Nu, met de ontwikkeling van de gegevensbeschermingswetgeving, moeten de partijen die betrokken zijn bij M&A-transacties rekening houden met de gegevensbeschermingsregelgeving en compliance garanderen voor alle processen waarbij persoonlijke gegevens worden verwerkt. 

Is uw dataroom op orde?

Een dataroom, ook wel bekend als een virtuele dataroom (VDR) wanneer deze actief is in een online format, is een beveiligde plek voor het opslaan van documenten tijdens bedrijfsprocessen zoals een fusie of overname, due diligence, fondsenwerving, IPO’s, audits en juridische procedures. 

Verkopers moeten zorgen voor een veilige, georganiseerde VDR. Een goed beheerde dataroom met georganiseerde documenten verhoogt het vertrouwen van de koper en laat het overnameproces soepel verlopen. De VDR is ook een opslagruimtes voor grote volumes aan gevoelige en mogelijk zeer waardevolle informatie. Het is daarom van cruciaal belang om de beveiligings- en gegevensbeschermingspraktijken van de VDR-verkoper te controleren. 

Daarnaast is het belangrijk om de hoeveelheid persoonsgegevens die wordt gedeeld waar mogelijk te beperken. Denk goed na over wat er gedeeld moet worden als onderdeel van het disclosure-proces. Essentiële documenten vereisen mogelijk redactie of andere maatregelen om de gevoelige informatie veilig te stellen. 

Kopers moeten een grondige due diligence uitvoeren en alles in de VDR doornemen om te garanderen dat de gronden voor de aankoop in orde zijn en de overname past bij de strategische doelen. In essentie moeten kopers kunnen bepalen of de overname een goede investering is of niet. 

Alle doorlopende gegevensbeschermingsrisicio’s moeten worden opgenomen in de overeenkomst. Strategieën kunnen fundamentele representaties, speciale vrijwaringen, escrowregelingen en beperkte openbaarmakingen bevatten. 

Checklist gegevensbescherming voor fusies en overnames

Bij het verzamelen van de gegevensbeschermingsdocumentatie voor een dataroom is het van belang om te benadrukken dat deze dossiers al deel behoren uit te maken van de doorlopende gegevensbeschermingscompliance. 

De documentatie dient een reflectie te zijn van het continue streven om zich te houden aan de best practices op het gebied van gegevensbescherming, en moet niet pas samengesteld worden vanwege de fusie of overname. 

Uiteindelijk is het doel om een stevige basis te creëren voor gegevensbescherminggovernance die verder reikt dan alleen de transactie. Dit stelt de interesse van beide partijen veilig en garandeert de privacyrechten van de individuen van wie de gegevens verwerkt worden. 

Dit zijn de essentiële gegevensbeschermingsdossiers die up-to-date en beschikbaar dienen te zijn: 

• Verwerkingenregister (RoPA) – biedt een volledig overzicht van de gegevensverwerkingsactiviteiten van de organisatie en is verplicht onder Artikel 30 van de AVG 

• Privacyverklaring – Actuele privacyverklaring om te zorgen voor transparantie bij de betrokkenen; de verklaring moet voldoen aan de AVG-vereisten van een eerlijke en legitieme verwerking 

• Toestemmingsregister – Documenteert de toestemming die verkregen is van individuen voor specifieke verwerkingsactiviteiten en toont de privacy-compliance aan 

• Gegevenslocatie- en opslaginformatie – Inclusief de ingestelde veiligheidsmaatregelen, die een kritiek element vormen voor het beoordelen van gegevensbeveiligingsrisico’s 

• Contracten verwerkersverantwoordelijken – verwerkers – Deze contracten stellen de juridische relatie vast tussen gegevensverantwoordelijken en -verwerkers en zijn vereist door de AVG Artikel 28 

• Due diligence-documentatie van leveranciers – Toont aan dat er voldoende toezicht toegepast is bij de verkooppraktijken op het moment van de start en tijdens het verdere gebruik van de diensten 

• Data Protection Impact Assessment (DPIA)-rapporten – Deze beoordelen de risico’s en impact van gegevensverwerkingsactiviteiten voor/op de rechten en vrijheden van individuen onder de AVG Artikel 35 

• Beoordeling van gerechtvaardigde belangen (Legitimate Interests Assessment, LIA) – Deze beoordelingen helpen organisaties bij het rechtvaardigen van de gegevensverwerkingsactiviteiten op de grondslag van gerechtvaardigde belangen, zoals uiteengezet in de AVG Artikel 6(1)(f) 

• Register van datalekken – Zorgdragen voor een nauwkeurige rapportage van datalekken is van essentieel belang voor compliance met de AVG-vereisten voor kennisgeving van datalekken en de te nemen acties onder de AVG Artikel 33 

Het DPO Centre biedt een breed aanbod aan uitbestede gegevensbeschermingsdiensten, waaronder Functionarissen Gegevensbescherming (DPO’s), en EU en VK AVG verantwoordelijken.  

Onze ervaren DPO’s werken samen met organisaties in veel verschillende sectoren om de best practices te implementeren en compliance met de gegevensbeschermingswetgeving te garanderen. 

 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Checklist gegevensbescherming voor fusies en overnames appeared first on DPO Centre.

Als een organisatie niet kan aantonen dat een van de zes grondslagen van toepassing is, dan is de verwerking van die gegevens onrechtmatig….

Het is dus heel belangrijk!

1. Toestemming

Om toestemming als wettelijke basis te gebruiken, moeten betrokkenen (dat zijn u en ik) ermee instemmen dat hun persoonlijke gegevens worden verwerkt.  Ze moeten een vrije keuze hebben over het al dan niet geven van hun toestemming.

• Toestemmingsverzoeken moeten duidelijk, ondubbelzinnig en gescheiden van andere voorwaarden zijn
• Individuen moeten zich actief aanmelden door een vakje aan te vinken, een document te ondertekenen, een bevestigend antwoord te geven op een mondelinge verklaring, enz.
• Als zich een nieuw doel voor de verwerking voordoet, moet nieuwe toestemming worden gevraagd aan individuen
• Toestemming moet net zo gemakkelijk in te trekken zijn als te geven
• Bewijs van toestemming moet worden vastgelegd (wanneer, waar en hoe deze is gegeven)

2. Overeenkomst

Gegevens kunnen worden verwerkt als de gegevens nodig zijn om een contract met de betrokkene uit te voeren. Het is aanvaardbaar om  de gegevens te verwerken voordat het contract wordt aangegaan (bijvoorbeeld het verstrekken van een verzekeringsofferte), op voorwaarde dat de informatie door de betrokkene is opgevraagd.

• De verwerking moet “noodzakelijk” zijn. De verwerking moet een redelijk en proportioneel zijn om het doel te bereiken
• Als de betrokkene jonger is dan 18 jaar, moet een organisatie ervoor zorgen dat de persoon voldoende bekwaam is om het contract aan te gaan
• Het recht van de persoon om bezwaar te maken is niet van toepassing als “Overeenkomst” is bepaald als de wettelijke basis voor verwerking. Evenzo is het recht van het individu om niet te worden onderworpen aan een beslissing die uitsluitend op geautomatiseerde verwerking is gebaseerd, niet van toepassing

3. Wettelijke verplichting

Als de verwerking van persoonsgegevens vereist is vanwege  een wettelijke verplichting, wordt dit beschouwd als een wettelijke basis op voorwaarde dat:

• Het doel van de organisatie bij de verwerking is, om te voldoen aan de wettelijke verplichting
• De wettelijke verplichting aanwijsbaar is in een specifieke wettelijk bepaling of regelgeving
• De verwerking noodzakelijk is

Het recht van het individu op wissing, gegevensportabiliteit en het recht om bezwaar te maken, is niet van toepassing wanneer wettelijke verplichting wordt bepaald als de basis voor verwerking

4. Vitale belangen

Als de gegevensverwerking in het vitale belang van de betrokkene is, dan is dit een wettelijke basis.  Deze basis is waarschijnlijk alleen van toepassing in medische noodsituaties waarin de verwerking van medische gegevens vereist is om het leven van een persoon of het leven van een andere persoon te beschermen, maar het individu niet in staat is om toestemming te geven.

Als het mogelijk is om de vitale belangen van de persoon op een alternatieve en minder ingrijpende manier te beschermen, dan is deze basis niet van toepassing.

U kunt deze basis niet gebruiken voor verwerking van gezondheidsgegevens- of andere bijzondere categorien van persoonsgegevens (zie artikel 9 van de AVG) als de persoon in staat is om zijn toestemming te geven, zelfs als hij weigert zijn toestemming te geven.

5. Publieke taak

Als de verwerking van persoonsgegevens noodzakelijk is ‘in de uitoefening van een officiële taak’ of om een specifieke taak in het algemeen belang uit te voeren die in de wet is vastgelegd, dan mag dat.

• Deze basis wordt meestal gebruikt door overheidsinstanties, maar kan ook van toepassing zijn op particuliere organisaties die taken uitvoeren ‘in het algemeen belang’.
• De verwerking moet noodzakelijk zijn
• In dit geval hebben individuen geen recht op wissing of gegevensportabiliteit

6. Gerechtvaardigd belang

Gerechtvaardigd belang is misschien wel de meest flexibele wettelijke basis, maar organisaties die dit gebruiken, moeten  kunnen aantonen dat het belang om de gegevens van een persoon te verwerken niet strijdig zijn met de redelijke verwachtingen van het individu dat u dit doet.

Als gerechtvaardigd belang als basis wordt gebruikt, moet een driedelige afwegingstoets worden toegepast om dit te rechtvaardigen.  Bij het uitvoeren van de afwegingstest moet rekening worden gehouden met het volgende:

1. Het vaststellen van een gerechtvaardigd belang:
   • Wat zijn de voordelen voor het bedrijf/individu/de bredere samenleving?
   • Hoe belangrijk zijn de voordelen?
   • Is het belang ethisch en rechtmatig?
2. Noodzaak vaststellen
   • Is de verwerking redelijk en proportioneel?
   • Komt de verwerking het gerechtvaardigd belang ten goede?
3. Belangen van individuen versus gerechtvaardigd belang:

• Wegen de belangen van het individu zwaarder dan het gerechtvaardigd belang?

Documenteren van de wettelijke basis

Alleen wanneer kan worden aangetoond dat er een evenwicht is tussen de belangen van de betrokkene en de organisatie, kan gerechtvaardigd belang worden beschouwd als een wettelijke basis voor verwerking.

Zodra een organisatie een wettelijke basis heeft vastgesteld, moet dit worden vastgelegd in de privacyverklaring.

Impact op individuele rechten

De vastgestelde rechtsgrondslag is rechtstreeks van invloed op de rechten die een persoon met betrekking tot de gegevens kan uitoefenen. Onderstaande tabel geeft aan welke rechten kunnen worden uitgeoefend volgens de toegepaste wettelijke grondslag.

Beslissen over de wettelijke basis

Het aanwijzen van de juiste wettelijke basis voor verwerking van elk van uw datasets en de categorieën gegevens die ze bevatten, is niet eenvoudig.  Verschillende gegevensbeschermingsautoriteit bieden hier informatie over. Bijvoorbeeld, de Autoriteit Persoonsgegevens legt uit hoe omgegaan moet worden met gerechtvaardigd belang. Ook biedt de Engelse ICO een interactieve begeleidingstool, maar het nemen van de juiste beslissing vereist een grondig begrip van de vereisten van de verordening en de manier waarop de gegevens zullen worden gebruikt.  We raden u aan dat een voldoende gekwalificeerde externe functionaris voor gegevensbescherming (DPO) u helpt bij het nemen van deze beslissing, waarschijnlijk als onderdeel van een effectbeoordeling van uw bredere gegevenslandschap.  Voor verdere hulp kunt u contact met ons opnemen

The post Wat zijn de zes wettelijke grondslagen en wanneer zijn ze van toepassing? appeared first on DPO Centre.