Om persoonsgegevens te mogen verwerken, heb je een grondslag nodig. Met andere woorden moet er een reden zijn waarom je persoonsgegevens opslaat en/ of gebruikt. De AVG noemt een 6-tal grondslagen:

  • Toestemming van de betrokken persoon. De toestemming moet een duidelijke actieve handeling zijn en de verantwoordelijke moet volledig transparant zijn over het doel van de verwerking. De toestemming moet aanwijsbaar en gedocumenteerd te zijn.
  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Denk hierbij bijvoorbeeld aan het vastleggen van account- of factuurgegevens t.b.v. een online bestelling. Alleen de data die daadwerkelijk noodzakelijk is voor de uitvoering van de overeenkomst mag worden vastgelegd.
  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting, zoals de wettelijke bewaartermijn van personeelsdossiers.
  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.
  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
  • Het gerechtvaardigd belang dient wel op te wegen tegen het privacybelang van de betrokkene (privacytoets).