EDPB presenteert richtlijn voor dataverwerking onder gerechtvaardigd belang

De European Data Protection Board heeft nieuwe richtlijnen geadopteerd voor dataverwerking. Daarin worden de criteria uiteengezet waar verwerkingsverantwoordelijken aan moeten voldoen voordat ze data mogen verwerken op basis van gerechtvaardigd belang.

Onder de Europese privacywetgeving GDPR mogen verwerkingsverantwoordelijken op basis van zes juridische gronden persoonlijke data verwerken. Eén daarvan is 'gerechtvaardigd belang'. In de nieuwe richtlijnen analyseert de EDPB, die bestaat uit privacytoezichthouders uit de EU, wanneer daarvan sprake is en aan welke eisen verwerkingsverantwoordelijken dan moeten voldoen.

Zo stelt de EDPB dat verwerkingsverantwoordelijken eerst moeten kijken of er alternatieven zijn 'om de nagestreefde belangen te bereiken'. Als dat het geval is, mogen er geen persoonsgegevens verwerkt worden. Bovendien blijven de 'belangen en fundamentele vrijheden en rechten van personen' altijd voorrang houden op het gerechtvaardigd belang van een verwerkingsverantwoordelijke.

De richtlijnen leggen verder uit hoe de beoordeling in de praktijk moet worden uitgevoerd. Daarbij wordt ook gekeken naar een aantal specifieke contexten, zoals fraudepreventie, direct marketing en informatiebeveiliging.

Het publiek kan nog reageren op de nieuwe richtlijnen middels een openbare consultatie. Deze consultatieperiode loopt tot 20 november. Daarna is het niet meer mogelijk om te reageren.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 10-10-2024 12:20
32 • submitter: Anonymoussaurus

10-10-2024 • 12:20

32

Submitter: Anonymoussaurus

Lees meer

RTL België moet cookieweigerknop beter zichtbaar maken van privacytoezichthouder
RTL België moet cookieweigerknop beter zichtbaar maken van privacytoezichthouder Nieuws van 18 oktober 2024
European Data Protection Board streeft naar betere naleving AVG
European Data Protection Board streeft naar betere naleving AVG Nieuws van 22 april 2024
Toezichthouders: Meta mag gebruikers niet dwingen om te betalen voor privacy
Toezichthouders: Meta mag gebruikers niet dwingen om te betalen voor privacy Nieuws van 18 april 2024
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen'
'Interne privacytoezichthouders kunnen hun werk niet altijd goed genoeg doen' Nieuws van 24 januari 2024
Noyb: Meta maakt het te moeilijk om toestemming voor tracking in te trekken
Noyb: Meta maakt het te moeilijk om toestemming voor tracking in te trekken Nieuws van 11 januari 2024
Toezichthouders EU verbieden persoonlijke advertenties op Facebook en Instagram
Toezichthouders EU verbieden persoonlijke advertenties op Facebook en Instagram Nieuws van 1 november 2023
Meer producten en artikelen
Privacy AVG

Reacties (32)

-Moderatie-faq
32
32
24
1
0
8
Wijzig sortering

Sorteer op:

Weergave:
FdG 10 oktober 2024 12:31
"Gerechtvaardigd belang" is een mooie term. Je zou verwachten dat het hier om jou eigen belangen gaat (het is immers jou data), maar dat is in lang niet alle gevallen zo. Zo zijn er genoeg commerciele bedrijven die het interpreteren als hún belang.

Een mooi voorbeeld die mensen die een KVK inschrijving hebben waarschijnlijk wel herkennen: Graydon. Die verwerken zonder jou toestemming de gegevens van je BV, en daarbij ook jou als persoon (als ZZP'er of als DGA). Ze schermen zich achter een groot leger aan advocaten als je een verzoek doet tot verwijdering (welke ze ook gewoon glashard weigeren, vanuit het algemeen belang: een potentiele andere partij kan jou kredietwaardigheid toetsen.

Hopelijk gaat deze wetgeving dergelijke praktijken aan banden leggen, maar het jammere is dat de AVG alleen rekening houdt met natuurlijke personen, en niet rechtspersonen. Maar het zou al helpen als ze de mensen achter de BV's niet meer zouden kunnen registreren.
Floort
@FdG10 oktober 2024 12:45
Gerechtvaardigd belang is per definitie een grondslag waarin ook de belangen van de betrokkenen meegewogen moeten worden:
processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
arbraxas @Floort10 oktober 2024 12:56
Tja, ik ken het vooral van de cookies en internet reclame.
En dan denk ik, welk gerechtvaardigd belang? Dat een partij waar ik nog nooit van gehoord heb, waar ik nog nooit mee gehandeld heb en nog nooit contact mee heb gehad mij wat "gerichte" reclame kan sturen?.

Sorry hoor, maar dan denk ik "f******r op.
Floort
@arbraxas10 oktober 2024 13:03
Ik zou je aanraden om uitleg over belangenafwegingen in de AVG niet te halen bij degenen die er belang bij hebben om die uitleg eenzijdig te geven.
arbraxas @Floort10 oktober 2024 14:27
Ik denk dat het probleem een stap eerder zit en we s goed gaan vastleggen wat gerechtvaardigd belang nou precies is.
Want als ik dit doorlees https://www.gegevensbesch...en/gerechtvaardigd-belang kun je toch vrij snel denken dat je een gerechtvaardig belang hebt. Persoonlijk zou ik het liefste een paar uitzonderingen op de lijst zien waarvoor dit nooit kan gelden.
En dan met stip op 1: Reclame.
Floort
@arbraxas10 oktober 2024 15:28
Al voor de AVG was de f-grondslag (gerechtvaardigd belang is zowel onder de AVG als de Wbp de zesde en laatste mogelijke grondslag in het rijtje) al een beetje de joker. Als je niet weet of een verwerking mag kan je altijd nog claimen dat het onder f valt; bewijs maar dat dat niet zo is. Tegelijkertijd is het een terecht waardevolle grondslag die, mits zorgvuldig toegepast, in veel gevallen ook beter is voor betrokkenen.

Wat je in de praktijk ziet is dat de onzekerheid die de grondslag bied zwaar misbruikt wordt. Zelfs zover dat verwerkingen waarbij ePrivacy een andere grondslag dan toestemming glashelder verbied (denk aan allerlei cookies) bedrijven het toch proberen. Wat je ook ziet is dat veel organisaties niet duidelijk aan betrokkenen communiceren wat die belangen zijn (art. 13(1)(d)/14(2)(b)) en niet kan aantonen dat de belangenafweging juist wordt gemaakt (art. 5 AVG). Er wordt te weinig gehandhaafd waardoor veel organisaties oprecht geloven dat wat ze doen redelijk is of dat degenen die bewust te ver gaan er niet op worden aangesproken. Je kan inderdaad vrij snel geloven dat, of doen alsof, je een gerechtvaardigd belang hebt als er nooit iemand gecorrigeerd wordt.
arbraxas @Floort10 oktober 2024 15:35
Tja, voor mij is het simpel. Reclame kan gewoon nooit een gerechtvaardigd belang zijn.
Daarom ook gewoon zo specifiek benoemen, ben je er van af.
SJCE @arbraxas11 oktober 2024 11:37
Dat expliciet benoemen is juist daarom ook niet noodzakelijk. Voor reclame zijn altijd even effectieve maar minder efficiente methoden te bedenken, dus kan het nooit een gerechtvaardigd belang zijn.
arbraxas @SJCE11 oktober 2024 11:41
Komen we weer op die wollige taal. Gewoon lijst waar het op staat. Klip en klaar. Krijg je ook geen gezeik
SJCE @arbraxas11 oktober 2024 12:44
Dat is niet wollig, dat is helder. Maar een lijst van voorbeelden waar gerechtvaardigd belang geclaimd wordt en dan een stap voor stap uitleg over hoe je tot een conclusie komt is zeker een goed idee.
_--[]--__ @Floort10 oktober 2024 17:30
Belangen afwegen betekent dan dus: “Hoe meer geld er wordt verdiend met jouw gegevens hoe groter de inbreuk op jouw rechten en vrijheden mag zijn….
BlakeNL @FdG10 oktober 2024 12:49
Je interpreteert het niet goed. Het gaat erom dat de belangen van de gegevensverantwoordelijke gerechtvaardigd zijn. Dus kijken of die belangen behartigt kunnen worden met de geldende wetgeving. Zoals bijvoorbeeld in opsporingsonderzoeken wanneer men persoonsgegevens moet verwerken of een gemeente dat concludeert dat een persoon fraudeert met uitkeringen, zij moeten die gegevens ergens kwijt.
FdG @BlakeNL10 oktober 2024 13:01
Het probleem zit hem in het feit dat organisaties zelf nogal wisselend inschatten wat een gerechtvaardigd belang is.
Google maar eens op die Graydon, een soort zakelijke BKR. Maar ze hebben geen enkele juridische noodzaak om dit te doen, behalve een financiele: hun eigen belang. Ze hebben geen mandaat of uitvoeringsverantwoordelijkheid. Ze geven het zelf aan dat ze het belang van de individu afwegen tegen het belang van de bedrijven die kredietchecks bij hun doen. In dit geval is dat een geval van de slager die zijn eigen vlees keurt; natuurlijk zijn die belangen groot, want het is ook hun verdienmodel.

En juist bij die interpretatie zit het probleem: kunnen ze hun taken niet ook doen zonder dat ze de persoonlijke gegevens verwerken? Kunnen ze kredietwaardigheid niet op een andere manier bepalen zonder dat ze hier allemaal persoonsgegevens bij verwerken van de ZZP'er of DGA van een organisatie.

Ze leggen het hier zelf uit: https://www.creditexpo.nl...wijderen-uit-uw-database/

Enige hoop is wel; het argument wat zij aangeven is dat zij handhaven dat het gerechtvaardigd belang zwaarder weegt dan het belang van het individu; in bovenstaand wetsvoorstel zie je dat dat omgedraaid wordt.

[Reactie gewijzigd door FdG op 10 oktober 2024 13:14]

latka @FdG10 oktober 2024 13:04
Kredietwaardigheid controleren van ZZPs kunnen ze ook niet op basis van de data die ze hebben, dus het belang van ZZP gegevens verzamelen is heel bijzonder. Tenzij ze BKR info knopen aan ZZP info, maar dan gaan ze zeker wel een flink aantal privacy stations voorbij.
Quintiemero @FdG10 oktober 2024 13:06
Maar er is gewoon het recht op vrijheid van ondernemerschap? Dus dat belang zou altijd minder moeten zijn dan die van het individu?
dipje2 @FdG10 oktober 2024 13:06
Al bij de AVP aangegeven? En niet als 'tip' maar als echte klacht? Weigeren tot verwijderverzoek terwijl het gewoon een commercieel bedrijf is, lijkt me namelijk nogal recht-toe-recht-aan-duidelijk, maar ja.... zo naïef ben ik blijkbaar.
Aldy @FdG10 oktober 2024 15:52
Hopelijk gaat deze wetgeving dergelijke praktijken aan banden leggen, maar het jammere is dat de AVG alleen rekening houdt met natuurlijke personen, en niet rechtspersonen. Maar het zou al helpen als ze de mensen achter de BV's niet meer zouden kunnen registreren.
Een zzp'er is een grijs gebied evenals de eenmanszaak mèt personeel. In beide gevallen lopen de zakelijke belangen en de privébelangen door elkaar. Dit ligt anders bij een DGA: dat is een natuurlijk persoon en dat wordt niet anders.
Graydon verwerkte al zakelijke gegevens ver voordat automatisering gemeengoed werd. Als een bedrijf met een ander bedrijf zaken gaat doen, is het heel logisch om te weten of de afnemer kredietwaardig is en of er netjes op tijd betaald wordt. Is dat zo, dan wordt er op rekening geleverd, anders wordt er onder rembours geleverd, maar daar zijn extra kosten aan verbonden, die de afnemer betaalt. Zonder het soort bedrijven als Graydon loopt een leverancier een groter risico en dat zal die afdekken door alles onder rembours te leveren. Graydon doet eigenlijk hetzelfde voor het bedrijfsleven als BKR voor de particulier.
pastafan @FdG11 oktober 2024 12:14
"Gerechtvaardigd belang" is een mooie term. Je zou verwachten dat het hier om jou eigen belangen gaat (het is immers jou data), maar dat is in lang niet alle gevallen zo. Zo zijn er genoeg commerciele bedrijven die het interpreteren als hún belang.
"Gerechtvaardig belang" wordt vanuit de AVG altijd beredeneerd vanuit de positie van de verwerkersverantwoordelijke.. Dat kunnen ommerciele bedrijven dus ook zijn. Dus ja dat is altijd hun belang (al dan niet gerechtvaardigd).
vDorst 10 oktober 2024 13:08
Volgens mij heeft iedere tracker "fraudepreventie" belang.
Ik vraag me toch altijd af, wanneer krijgen de +220 bedrijven dan deze data.
Als ze voor fraudepreventie allemaal geraadpleegt worden, dan krijgen ze allemaal mijn data.

Iemand een linkje die dat goed uitlegd?
DailySpecial @vDorst10 oktober 2024 13:20
Elke keer dat die informatie gedeeld wordt telt als een verwerking. Er is dus naast harvesten van je informatie, voor alle 220 keer dat je data gedeeld wordt door de harvester, een grondslag nodig...
Ethirty @vDorst10 oktober 2024 13:27
220? Kwam laatst al op 1400+. Voor het lezen van 1 artikel.
brammetje1994 @vDorst10 oktober 2024 14:15
Dat is zeker zo, maar neem bijvoorbeeld Google Advertenties: die kunnen pas een belang koppelen voor fraudepreventie als er sprake is van een uitwisseling van gegevens. Om die gegevensuitwisseling te doen, dien je toestemming te hebben gegeven als gebruiker. Daarmee is de fraudepreventie pas van toepassing onder de toestemming, maar bij het verstrekken van je toestemming voor die gegevensuitwisseling op basis van legitiem belang gebeurt omdat het een ander doel is.

Dat betekent niet dat dit goed 'werkt' of 'geïmplementeerd' is.
-DarkShadow- 10 oktober 2024 13:17
"Gerechtvaardigd belang" is de escape van de GDPR waardoor onder andere sportverenigingen de gegevens van leden mogen doorverkopen aan adverteerders. Inkomsten voor de vereniging zijn namelijk een gerechtvaardigd belang. De leden hoeven enkel geïnformeerd te worden, instemming is niet nodig. Ik snap niet hoe de EDPB het ooit zo ver heeft kunnen laten komen.

De GDPR is een prima wet en de uitvoerende instanties hebben er een giga gat in laten ontstaan. In plaats dat ze het lek dichten, lijken ze de industrie aan te moedigen om vooral gebruik te maken van het lek.

Bron: https://fd.nl/politiek/15...-over-handel-in-privedata

[Reactie gewijzigd door -DarkShadow- op 10 oktober 2024 13:20]

Blokker_1999
@-DarkShadow-10 oktober 2024 14:00
Het vergaren van inkomsten is in het belang van de vereniging, dat klopt, maar dan moet je ook kunnen aantonen dat het schenden van de privacy daaraan ondergeschikt is. En dat is de uitdaging. Het blijft een afweging die gemaakt moet worden, en het is niet omdat jij voordeel ergens uit haalt dat dat voorrang krijgt op het nadeel dat je anderen toedient.
brammetje1994 @-DarkShadow-10 oktober 2024 14:13
Het is geen escape, maar wordt wel zo ingezet. Er staat expliciet dat 'trackers en andere technologieën" onder ePrivacy al consent vereisen. Doorverkopen van een klantbestand is dan weer avg.

Inkomsten zijn een belang, maar of dit gerechtvaardigd is hangt af van de balans tussen vrijheid en risico voor de individuen en het belang van de organisatie. Indien er een andere methode is om tot het doel van de verwerking te komen dan invalideert dit het gerechtvaardigd belang volgens deze laatste richtlijnen.

Enkel commercieel belang uitroepen als gerechtvaardigd belang is nooit toegestaan geweest onder gerechtvaardigd belang.
SJCE @-DarkShadow-11 oktober 2024 11:21
In die case is er geen uitspraak gedaan of daar gerechtvaardigd belang gebruikt mocht worden. En dat blijft ook erg onaannemelijk
WouterL 10 oktober 2024 13:06
Ik vind dit eigenlijk allemaal niet super best. Dit is eigenlijk al wat vrij concreet in de aanhef van de verordening staat.
Frogmen 10 oktober 2024 13:20
Snap je ergernis over bedrijven als Graydon maar ze zijn er omdat er klanten voor zijn. Daarin zit hem denk ik veel meer het probleem. Zolang bedrijven al deze bullshit data kopen maar waarschijnlijk ook voeden met hun data blijven ze bestaan.
__gerrit 10 oktober 2024 13:51
Dit "gerechtvaardigde" belang is zolangzamerhand een backdoor geworden in de hele verordening en een feestje voor de advocatuur.

Als ik die nieuwe richtlijnen zie van de EDPB, dan zullen die daaraan niets veranderen, want ze doen in feite niet meer dan dezelfde woorden in een andere volgorde te plaatsen.
ongeregistreerd 10 oktober 2024 14:08
Zoals de discussie hierboven al aangeeft, "Gerechtvaardigde belang" is een van de meest misleidende uitspraken van de EDPD / Autoriteit persoonsgegevens...

Ze moeten zichzelf eens gaan houden aan hun eigen regels... Misleiding is een hot topic voor ze:
https://www.autoriteitper...nl/search?keys=misleiding
locke960 10 oktober 2024 21:16
We moeten "gerechtvaardigd belang" gewoon heel anders aanpakken. Een aantal veel voorkomende zaken definiëren en toestaan, al het andere is niet toegestaan.

Vind je jou geval zo bijzonder dat het ook onder gerechtvaardigd belang zou moeten vallen? Dan mag je een aanvraag ter beoordeling indienen, EUR 500,- beoordelingskosten aftikken, en na een tijdje krijg je de uitslag:
  • Toegestaan, hier heeft u het vergunningsnummer.
  • Afgewezen, overduidelijk foute boel.
  • Uw aanvraag is een onduidelijk, onoverzichtelijk, complex zooitje. Complexiteit bij dit soort zaken stinkt -> afgewezen. Indien u nog steeds denkt dit nodig te hebben, kunt u het EUR 5000,- kostende aanvraagproces starten waarbij u met een persoonlijke ontmoeting op kantoor bij de toezichthouder uw zaak mag komen beargumenteren. Indien de zaak dan nog steeds niet definitief beoordeeld kan worden, kunt u op basis van de reeds geleverde gegevens een bindende offerte aanvragen voor een finale beoordeling.
En omdat we de beroerdste niet zijn: Als je met iets komt dat zoveel hout snijdt dat we besluiten het aan de algemene regels toe te voegen, krijg je je geld terug.

Het mooie is, dit betaald zichzelf.

[Reactie gewijzigd door locke960 op 10 oktober 2024 21:24]

Hendrik53 11 oktober 2024 04:28
Ik wordt gewoon niet goed van al die websites waarbij je handmatig alles moet uitvinken. Soms 60+ adverteerders met wie gegevens gedeeld worden. En in heel veel gevallen is de button tekst onduidelijk.
Gewoon 'accepteer noodzakelijke' en 'NEE tegen de rest' zou genoeg moeten zijn.
"Gerechtvaardigd belang' wil zoveel zeggen dat de partij betaald wordt voor het verzamelen van data en dat heeft niets te maken met de verstrekte informatie.
Wanneer ik lijsten moet doorlopen: 'blacklist deze partij'.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq