Toelichting gerechtvaardigd belang

Brussel, Februari 2026

GDPR | Ad Hoc Data

Inleiding

Voor een aantal verwerkingsactiviteiten baseert Ad Hoc Data zich op het gerechtvaardigd belang als bedoeld in artikel 6 lid 1 onder f AVG. Deze grondslag mag niet lichtvaardig worden gebruikt. De AVG verlangt dat per concrete verwerking aantoonbaar wordt getoetst of sprake is van een gerechtvaardigd belang, of de verwerking noodzakelijk is om dat belang te realiseren en of, na afweging, de rechten en vrijheden van betrokkenen niet zwaarder wegen. Dit vereist een gestructureerde, inhoudelijke en goed gedocumenteerde beoordeling.

Om deze beoordeling op het juiste niveau van zorgvuldigheid uit te voeren, heeft Ad Hoc Data deze Legitimate Interest Assessment (LIA) opgesteld aan de hand van een recent gepubliceerd toetsingskader van de Hamburg Commissioner for Data Protection and Freedom of Information, een Europese gegevensbeschermingsautoriteit. Dit vragenkader is specifiek ontwikkeld om verwerkingsverantwoordelijken te ondersteunen bij het systematisch en controleerbaar toepassen van artikel 6 lid 1 onder f AVG. Het document sluit aan bij de actuele Europese interpretatie van het gerechtvaardigd belang en vertaalt deze naar een praktische, gestructureerde driedelige toets.

Door deze gezaghebbende en recente structuur te hanteren, onderbouwt Ad Hoc Data haar keuze voor het gerechtvaardigd belang op een wijze die aansluit bij de huidige Europese toezichtpraktijk. Hiermee wordt zichtbaar dat deze grondslag niet uit gemak wordt gekozen, maar dat de verwerking inhoudelijk is getoetst op noodzakelijkheid, proportionaliteit en de aanwezigheid van passende waarborgen ter bescherming van betrokkenen.

Deze LIA weerspiegelt een recente herbeoordeling van de verwerkingsactiviteiten van Ad Hoc Data en de wijze waarop gegevens worden verwerkt en geminimaliseerd voordat zij aan klanten beschikbaar worden gesteld. De analyse in dit document is daarmee actueel en gebaseerd op de feitelijke inrichting van de verwerking.

De beantwoording van de vragen in deze LIA maakt inzichtelijk welk concreet belang met de verwerking wordt nagestreefd, waarom de verwerking noodzakelijk is om dat belang te realiseren, welke mogelijke gevolgen voor betrokkenen zijn geïdentificeerd en welke technische, organisatorische en juridische waarborgen zijn getroffen om de impact voor betrokkenen te beperken. Dit document dient daarmee niet alleen ter interne verantwoording, maar ook ter externe transparantie richting betrokkenen en toezichthoudende autoriteiten. Het laat zien dat Ad Hoc Data het gerechtvaardigd belang toepast binnen de kaders van de AVG, met expliciete aandacht voor zorgvuldigheid, proportionaliteit en de bescherming van betrokkenen.


  1. Hoofdstuk 1


    Vraag 1.1: Wat is het belang bij de verwerkingsactiviteit?

    Het belang bij de verwerkingsactiviteit is het kunnen aanbieden van een actuele, betrouwbare en gestructureerde zakelijke databank die ondernemingen ondersteunt bij hun commerciële en organisatorische activiteiten, zoals marktverkenning, zakelijke communicatie, risicobeoordeling en strategische besluitvorming.

    Ad Hoc Data heeft er een gerechtvaardigd belang bij om bepaalde persoonsgegevens te verwerken die onlosmakelijk verbonden zijn aan rechtspersonen en noodzakelijk zijn om zakelijke informatie bruikbaar en contextueel relevant te maken voor haar (potentiële) klanten (hierna gemakshalve ‘klanten') zodat deze de gegevens kunnen gebruiken voor hun eigen zakelijke doeleinden. Dit document ziet op het gerechtvaardigd belang van Ad Hoc Data bij de verwerking van eventuele persoonsgegevens in het kader van de dienstverlening aan haar klanten.

    De belangen bestaan concreet uit:

    • het door Ad Hoc Data als onderdeel van haar bedrijfsmodel kunnen aanbieden en leveren van functionele en toepasbare datasets betreffende rechtspersonen voor de zakelijke doeleinden van de klanten;
    • het waarborgen van de kwaliteit, actualiteit en consistentie van dergelijke informatie;
    • het ondersteunen van innovatie en beschikbaarheid van data ten behoeve van (kosten)efficiënte en transparante zakelijke interacties in het handelsverkeer;
    • en het in stand houden van een duurzaam en concurrerend bedrijfsmodel dat voorziet in een aantoonbare behoefte aan data van rechtspersonen in de markt ten behoeve van innovatie, compliance en risicomanagement.
    Daarnaast wordt met deze verwerking ook het gerechtvaardigde belang van de klanten van Ad Hoc Data gediend. Professionele afnemers gebruiken de ondernemingsgerichte gegevens onder meer ter ondersteuning van marktanalyses, strategische besluitvorming en zorgvuldige selectie van zakelijke relaties. Toegang tot actuele en gestructureerde ondernemingsinformatie helpt hen om ondernemingsrisico's te beperken, vergissingen in zakelijke interacties te voorkomen en efficiënter te opereren binnen het handelsverkeer.

    Deze belangen worden nagestreefd met inachtneming van de beginselen van de AVG, in het bijzonder gegevensminimalisatie, doelbinding en transparantie en is nadrukkelijk beperkt tot wat noodzakelijk is voor de beoogde zakelijke doeleinden van de klanten van Ad Hoc Data.

  2. Vraag 1.2: Wat is het specifieke doel van de geplande verwerking?

    Het specifieke doel van de verwerking door Ad Hoc Data is het verzamelen, structureren, actualiseren en beschikbaar stellen van zakelijke identificatie- en classificatiegegevens over rechtspersonen aan professionele afnemers, zodat zij rechtspersonen kunnen identificeren, onderscheiden, segmenteren en contacteren binnen het handelsverkeer.

    De verwerking is daarbij strikt beperkt tot gegevens die functioneel noodzakelijk zijn om de volgende doelen (ook ‘het doel') te bereiken :

    • rechtspersonen eenduidig te identificeren (bijvoorbeeld via ondernemingsnaam en andere zakelijke identificatoren); en
    • ondernemingen te classificeren op basis van zakelijke kenmerken (bijvoorbeeld sector- en organisatiekenmerken) ten behoeve van professioneel gebruik.
    De verwerking omvat nadrukkelijk niet:
    • gegevens van natuurlijke personen die zelf als onderneming optreden (zoals zelfstandigen en eenmanszaken);
    • persoonsgegevens die zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars, mobiele telefoonnummers en e-mailadressen met persoonsnamen);
    • of verwerking met als doel persoonsgerichte benadering of persoonsgerichte direct marketing van natuurlijke personen.
    Vraag 1.3: Wie streeft het belang na?

    Het belang bij de verwerking wordt in de eerste plaats nagestreefd door Ad Hoc Data zelf, in haar rol als verwerkingsverantwoordelijke, in het kader van haar kernactiviteit: het aanbieden van zakelijke data aan professionele afnemers.

    Daarnaast worden met deze verwerking ook de gerechtvaardigde belangen van derden, met name de klanten van Ad Hoc Data, gediend. Deze klanten gebruiken de door Ad Hoc Data beschikbaar gestelde zakelijke informatie voor professionele doeleinden, zoals marktverkenning, zakelijke communicatie, risicobeoordeling, compliance-doeleinden en strategische besluitvorming binnen hun eigen ondernemingsactiviteiten.

    De verwerking dient aldus:

    • het eigen, directe belang van Ad Hoc Data bij het kunnen aanbieden en onderhouden van haar dienstverlening, én
    • het belang van haar klanten bij toegang tot actuele en betrouwbare zakelijke informatie voor gebruik voor hun eigen doeleinden.

    De verwerking is niet gericht op belangen van andere derden buiten deze context en dient geen doeleinden die losstaan van professioneel en zakelijk gebruik binnen het handelsverkeer.

    Vraag 1.4: Is het belang rechtmatig en is het niet in strijd met toepasselijk recht?

    Ja. Het nagestreefde belang is rechtmatig en niet in strijd met toepasselijk Unierecht of nationaal recht.

    De verwerking is gericht op het aanbieden en onderhouden van zakelijke informatieproducten over rechtspersonen voor professioneel gebruik in het handelsverkeer. Voor zover binnen deze gegevens (indirect) persoonsgegevens zouden voorkomen, is de verwerking beperkt tot wat functioneel noodzakelijk is voor ondernemingsidentificatie en zakelijke classificatie, binnen de kaders van de AVG.

    De verwerking is niet gericht op het verwerken van bijzondere categorieën persoonsgegevens (art. 9 AVG) of gegevens inzake strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG), en omvat geen geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare significante gevolgen in de zin van artikel 22 AVG.

    De verwerkingsactiviteit is zodanig ingericht dat:

    • de verwerking is gericht op gegevens van rechtspersonen en geen gegevens omvat van ondernemingen die geen rechtspersonen zijn (zoals zelfstandigen, eenmanszaken of andere natuurlijke personen zonder rechtspersoonlijkheid);
    • persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen als zodanig te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) geen onderdeel uitmaken van de data;
    • de verwerking niet gericht is op persoonsgerichte benadering of persoonsgerichte direct marketing; en
    • ten opzichte van de gegevensaanleveringen en bronbestanden waaruit Ad Hoc Data haar ondernemingsgerichte dataset samenstelt, uitsluitend die gegevens worden verwerkt die functioneel noodzakelijk zijn voor het doel zoals omschreven in dit document, waarbij gegevens die buiten de vastgestelde verwerkingsscope vallen vóór opname in de productieomgeving worden verwijderd.
    Vraag 1.5: Is het belang duidelijk en precies geformuleerd?

    Ja, het gerechtvaardigde belang is duidelijk en precies geformuleerd.

    Het nagestreefde belang van Ad Hoc Data is expliciet omschreven en afgebakend tot het aanbieden van zakelijke informatie over rechtspersonen ten behoeve van professioneel gebruik binnen het handelsverkeer. De verwerking is gericht op gegevens van rechtspersonen die deelnemen aan het handelsverkeer en is niet gericht op natuurlijke personen als zodanig.

    Deze afbakening komt concreet tot uitdrukking in de inrichting van de verwerking. De verwerking is beperkt tot gegevens betreffende rechtspersonen. Gegevens van ondernemingen die geen rechtspersoon zijn (zoals zelfstandigen, eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid) maken geen onderdeel uit van de verwerkingsactiviteiten.

    Daarnaast is de verwerking ingericht volgens het beginsel van gegevensminimalisatie. Alleen gegevens die functioneel noodzakelijk zijn om rechtspersonen in een zakelijke context te identificeren en te onderscheiden, worden verwerkt. Gegevenscategorieën die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen, maken geen onderdeel uit van de verwerkingsactiviteiten.

    Vraag 1.6: Is het belang reëel en actueel (en niet speculatief of hypothetisch)?

    Ja. Het nagestreefde belang is reëel, actueel en concreet, en niet speculatief of hypothetisch van aard.

    Het belang vloeit rechtstreeks voort uit de huidige en voortdurende bedrijfsactiviteiten van Ad Hoc Data: het aanbieden van een ondernemingsgerichte database met zakelijke identificatie- en classificatiegegevens over rechtspersonen aan professionele afnemers. De verwerking van gegevens vindt uitsluitend plaats voor zover dit noodzakelijk is om deze bestaande dienstverlening te kunnen leveren, te onderhouden en actueel te houden.

    De verwerking is niet gericht op toekomstige of nog onbepaalde gebruiksscenario's en niet bedoeld voor hypothetische, niet-uitgevoerde bedrijfsmodellen. Het belang manifesteert zich in concrete, doorlopende activiteiten, waaronder het structureren, actualiseren en beschikbaar stellen van ondernemingsgegevens binnen het afgebakende verwerkingskader (waarbij gegevens van niet-rechtspersonen en persoonsgerichte identifiers niet worden verwerkt).

    Daarmee is het belang objectief vast te stellen en actueel aanwezig ten tijde van de beoordeling.

  3. Hoofdstuk 2


    Vraag 2.1: Is de verwerking absoluut noodzakelijk om het nagestreefde belang te bereiken, of zijn er minder ingrijpende middelen beschikbaar?

    Ja. Voor het specifieke doel zoals omschreven in 1.2 (het verzamelen, structureren, actualiseren en beschikbaar stellen van zakelijke identificatie- en classificatiegegevens over rechtspersonen aan professionele afnemers) is verwerking van de gebruikte gegevens noodzakelijk. Zonder verwerking kunnen de beoogde doeleinden van Ad Hoc Data en derden niet worden gerealiseerd.

    Minder ingrijpende middelen zijn in de huidige inrichting van de verwerking toegepast door het bereik van (mogelijke) persoonsgegevens structureel te reduceren.

    Concreet houdt dit in dat:

    • de verwerking is afgebakend tot rechtspersonen en geen gegevens omvat van ondernemingen die geen rechtspersonen zijn (zoals zelfstandigen, eenmanszaken of andere natuurlijke personen zonder rechtspersoonlijkheid); en
    • persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) geen onderdeel uitmaken van de verwerkingsactiviteiten.

    Verdergaande alternatieven (bijvoorbeeld het structureel weglaten of onherkenbaar maken van essentiële identificerende ondernemingsgegevens) zouden er toe leiden dat rechtspersonen niet meer eenduidig kunnen worden geïdentificeerd of onderscheiden en daarmee het niet langer mogelijk maken de doeleinden uit 1.2 redelijkerwijs te bereiken. Daarom is gekozen voor een inrichting waarin het doel kan worden bereikt met een zo beperkt mogelijk bereik van (mogelijke) persoonsgegevens, zonder de benodigde noodzakelijke functionaliteit te verliezen.

    Vraag 2.2: Is de te verwerken data beperkt tot wat noodzakelijk is?

    Ja. De verwerking is beperkt tot gegevens die noodzakelijk zijn voor het specifieke doel zoals omschreven in dit document: het verzamelen, structureren, actualiseren en beschikbaar stellen van gegevens die noodzakelijk zijn voor (zakelijke) identificatie- en classificatiegegevens over rechtspersonen voor professioneel gebruik.

    De begrenzing tot het noodzakelijke blijkt uit de volgende afbakeningen in de verwerking:

    • Ondernemingsgerichte scope: de verwerking is gericht op rechtspersonen die handelen als onderneming in het handelsverkeer en op gegevens die functioneel nodig zijn om die rechtspersonen te kunnen identificeren, onderscheiden en classificeren in een zakelijke context.
    • Geen verwerking van gegevens van individuen, of ondernemingen zijnde niet-rechtspersonen: gegevens van zelfstandigen, eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid maken geen onderdeel uit van de verwerking.
    • Geen verwerking van persoonsgerichte identifiers: gegevens die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) maken geen onderdeel uit van de verwerking.

    Hoewel de verwerking ondernemingsgericht is ingericht, kan niet worden uitgesloten dat bepaalde verwerkte gegevens in specifieke omstandigheden (bijvoorbeeld in combinatie met redelijkerwijs andere beschikbare informatie) als persoonsgegevens kunnen kwalificeren. De kans hierop wordt beperkt door persoonsgerichte contact- en identificatiegegevens niet op te nemen in de database die toegankelijk is voor klanten en te beperken tot wat noodzakelijk is voor het ondernemingsgerichte doel en worden persoonsgerichte contact- en identificatiegegevens buiten scope gehouden.

    Ten behoeve van haar dienstverlening ontvangt Ad Hoc Data gegevens van partners. Deze aanleveringen kunnen ook persoonsgegevens bevatten. Dergelijke persoonsgegevens maken echter geen onderdeel uit van de beoogde ondernemingsgerichte dataset die beschikbaar wordt gesteld aan klanten. Daarom wordt voorafgaand aan opname in de productieomgeving een minimalisatiestap toegepast, waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd. Hierdoor wordt gewaarborgd dat persoonsgegevens die niet noodzakelijk zijn voor het ondernemingsgerichte doel van de verwerking geen onderdeel uitmaken van de dataset die door Ad Hoc Data aan haar klanten ter beschikking wordt gesteld.

    Vraag 2.3: Is het aantal betrokkenen beperkt tot het minimum dat noodzakelijk is om het doel te bereiken?

    Ja. Het aantal betrokkenen is beperkt tot wat noodzakelijk is voor het ondernemingsgerichte doel zoals omschreven bij 1.2.

    Die beperking volgt uit de huidige afbakening van de verwerking:

    • Beperking van de populatie: Ad Hoc Data verwerkt uitsluitend ondernemingsgerichte gegevens over rechtspersonen. Gegevens van ondernemingen zijnde niet-rechtspersonen (zoals zelfstandigen, eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid) maken geen onderdeel uit van de verwerking.
    • Beperking van persoonsgerichtheid: persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) maken geen onderdeel uit van de verwerking.

    Hierdoor wordt vermeden dat gegevens van natuurlijke personen buiten de ondernemingsgerichte context van rechtspersonen onnodig in de verwerking worden betrokken. Voor zover gegevens in deze ondernemingsgerichte dataset in bepaalde omstandigheden als persoonsgegevens kunnen kwalificeren, blijft het bereik daarvan beperkt door deze structurele afbakeningen en minimalisaties.

    Vraag 2.4: Vindt de gegevensverwerking eenmalig plaats of op doorlopende basis?

    Het doel van de gegevensverwerking is (mede) het beschikbaar stellen en houden van actuele datasets. Om die reden is er een doorlopend proces van het verkrijgen, structureren, actualiseren, minimaliseren tot de noodzakelijke gegevens en (vervolgens) beschikbaar stellen van ondernemingsgerichte gegevens over rechtspersonen aan klanten ten behoeve van het in 1.2 omschreven doel.

    De noodzaak van deze verwerking is daarmee eveneens doorlopend: het doel veronderstelt dat de beschikbare dataset actueel blijft en dat wijzigingen in ondernemingsgegevens in de tijd kunnen worden verwerkt. De verwerking is niet beperkt tot een eenmalige handeling of een eenmalige dataset, maar betreft een voortdurende actualisering binnen het afgebakende verwerkingskader zoals beschreven in bepaling 2.1–2.3.

    Vraag 2.5: Zijn alle verwerkingsstappen noodzakelijk voor het nagestreefde doel, of kunnen afzonderlijke verwerkingsstappen worden weggelaten?

    De verwerking omvat uitsluitend die stappen die noodzakelijk zijn om het doel uit 1.2 te bereiken: het beschikbaar stellen van een bruikbare, actuele en gestructureerde ondernemingsgerichte dataset over rechtspersonen voor professioneel gebruik.

    In dat kader zijn de volgende verwerkingsstappen functioneel noodzakelijk:

    • verzamelen en ontvangen van ondernemingsgerichte gegevens;
    • toepassen van een voorafgaande minimalisatiestap, waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd voordat gegevens in de productieomgeving worden opgenomen;
    • structureren en normaliseren zodat rechtspersonen eenduidig kunnen worden geïdentificeerd, onderscheiden en geclassificeerd;
    • actualiseren om de dataset actueel te houden in de tijd;
    • beschikbaar stellen aan professionele afnemers via de overeengekomen leveringswijze.

    De genoemde minimalisatiestap is een noodzakelijke maatregel om te waarborgen dat uitsluitend gegevens die functioneel noodzakelijk zijn voor het ondernemingsgerichte doel onderdeel worden van de dataset die aan klanten ter beschikking wordt gesteld. Gegevens die in deze stap worden verwijderd, worden niet opgenomen in de productieomgeving.

    Tegelijkertijd is de verwerking zodanig ingericht dat stappen die niet noodzakelijk zijn voor dit doel achterwege blijven. Dit blijkt uit de afbakening dat de verwerking niet is ingericht op persoonsgerichte identificatie of benadering en dat categorieën persoonsgerichte identifiers geen onderdeel vormen van de verwerking (zoals beschreven in 2.2 en 2.3).

    Vraag 2.6: Is er een verwijderingsconcept en zijn bewaartermijnen vastgelegd?

    Ja. Er is een verwijderingsconcept en er zijn bewaartermijnen vastgelegd, passend bij het doorlopende karakter van de verwerking (2.4) en het doel zoals omschreven in 1.2.

    De dataset wordt periodiek geactualiseerd. In dat kader worden gegevens beheerd volgens het beginsel van opslagbeperking: gegevens blijven niet onbeperkt beschikbaar, maar worden binnen de dataset aangepast en uitgefaseerd wanneer zij niet langer actueel of zakelijk relevant zijn voor het doel uit 1.2. Voor zover binnen deze ondernemingsgerichte gegevens in context persoonsgegevens kunnen voorkomen, geldt dezelfde logica: zij worden niet langer bewaard dan noodzakelijk voor het gerechtvaardigde belang dat met de dienstverlening wordt nagestreefd en vallen onder het reguliere actualiserings- en verwijderproces.

    Verzoeken van betrokkenen tot verwijdering van persoonsgegevens worden altijd gehonoreerd, voor zover er geen wettelijke uitzondering van toepassing is. Deze verzoeken worden behandeld en afgehandeld binnen de termijnen zoals voorgeschreven door de AVG.

    Op grond van de contractuele afspraken met klanten geldt dat door klanten verkregen gegevens na beëindiging van de klantovereenkomst nog maximaal 90 dagen bewaard mogen blijven en daarna door de klant moeten worden verwijderd.

    Ten behoeve van haar dienstverlening ontvangt Ad Hoc Data gegevens van partners. Deze aanleveringen kunnen ook persoonsgegevens bevatten. Dergelijke persoonsgegevens maken echter geen onderdeel uit van de beoogde ondernemingsgerichte dataset die beschikbaar wordt gesteld aan klanten. Daarom wordt voorafgaand aan opname in de productieomgeving een minimalisatiestap toegepast, waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd. Deze gegevens worden uitsluitend verwerkt voor zover nodig om deze filtering uit te voeren en worden niet opgenomen in de productieomgeving. Na uitvoering van deze stap worden dergelijke persoonsgegevens niet verder bewaard binnen de operationele systemen van Ad Hoc Data.

    Vraag 2.7: Is er een overzicht van bestaande en geplande datastromen?

    Ja. Er is een overzicht van de bestaande en geplande datastromen die plaatsvinden op basis van gerechtvaardigd belang, zodat inzichtelijk is hoe ondernemingsgerichte gegevens (en gegevens die in context als persoonsgegevens kunnen kwalificeren) door de keten bewegen in het kader van het doel zoals omschreven in 1.2.

    Dit omvat:

    • invoer/stroom naar Ad Hoc Data: aanlevering of verkrijging van een geminimaliseerde set van ondernemingsgerichte gegevens voorafgaand aan de opname van gegevens in de dataset voor klanten ;
    • interne verwerking: structurering, actualisering, (eventuele) minimalisatie, kwaliteitsbeheer en opslag binnen de afgebakende scope (rechtspersonen; uitsluiting niet-rechtspersonen en persoonsgerichte identifiers zoals beschreven in 2.2 en 2.3);
    • uitvoer/stroom naar klanten: beschikbaarstelling van gegevens aan professionele afnemers via de overeengekomen leveringswijze en voorwaarden;
    • uitstroom na beëindiging: verwijdering/uitfasering conform het bewaarbeleid en, waar van toepassing, contractuele verplichtingen richting klanten (waaronder de verplichting tot verwijdering na maximaal 90 dagen na einde overeenkomst).
  4. Hoofdstuk 3


    Vraag 3.1: Welke grondrechten van de betrokkenen worden geraakt?

    De verwerking kan met name het grondrecht op bescherming van persoonsgegevens (artikel 8 Handvest van de grondrechten van de EU) en het daarmee samenhangende recht op eerbiediging van het privéleven (artikel 7 Handvest) raken, voor zover binnen de ondernemingsgerichte dataset betreffende rechtspersonen gegevens voorkomen die in de gegeven context als persoonsgegevens kunnen kwalificeren.

    Gelet op het doel en de inrichting van de verwerking is de relevantie van andere grondrechten (zoals non-discriminatie of vrijheid van meningsuiting) niet het primaire aanknopingspunt in deze verwerking, omdat de verwerking is afgebakend tot ondernemingsgerichte identificatie- en classificatiegegevens over rechtspersonen en persoonsgerichte identifiers (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) geen onderdeel vormen van de verwerking.

    Vraag 3.2: Worden de fundamentele vrijheden van de betrokkenen geraakt?

    Voor zover beoordeeld in het kader van deze verwerking worden de fundamentele vrijheden in de zin van het VWEU (zoals vrijheid van vestiging, vrij verkeer van diensten, goederen, werknemers en kapitaal) niet het primaire object van de verwerking en worden zij door deze verwerking niet rechtstreeks beperkt of geraakt.

    De verwerking ziet op het verwerken en beschikbaar stellen van ondernemingsgerichte gegevens over rechtspersonen in een professionele context. Eventuele gevolgen voor de positie van betrokkenen in het economisch verkeer zouden, als zij zich al voordoen, eerder indirect zijn, gekoppeld zijn aan de rechtspersoon en niet zozeer aan het individu en worden daarom betrokken bij de beoordeling van de mogelijke effecten en impact niet als een zelfstandige, directe beperking van VWEU-vrijheden beschouwd.

    Vraag 3.3: Worden naast grondrechten en fundamentele vrijheden ook andere belangen van de betrokkenen geraakt?

    Ja, er is rekening gehouden met andere belangen van betrokkenen. Naast de grondrechten (3.1) en eventuele relevante vrijheden (3.2) worden ook de belangen van betrokkenen meegewogen, voor zover de verwerking in de gegeven context gevolgen kan hebben.

    Binnen deze ondernemingsgerichte verwerking zijn met name de volgende belangen relevant om te betrekken:

    • Sociale belangen: het voorkomen van ongewenste benadering, reputatienadelen of andere nadelige effecten die kunnen samenhangen met de beschikbaarheid of het gebruik van gegevens in een professionele context.
    • Financiële belangen: het voorkomen van nadelige effecten die zich kunnen vertalen in financiële consequenties, bijvoorbeeld wanneer gegevens onjuist zijn of op een manier worden gebruikt die voor de betrokkene ongunstig uitwerkt.
    • Persoonlijke belangen (privacybeleving): het belang dat gegevens die in context als persoonsgegevens kunnen kwalificeren niet verder gaan dan nodig voor het ondernemingsgerichte doel en niet worden gebruikt voor persoonsgerichte benadering.

    Deze belangen worden in de verdere beoordeling concreter gemaakt aan de hand van (i) het type gegevens (3.4–3.8), (ii) de redelijke verwachtingen (3.9–3.12), (iii) de mogelijke negatieve en positieve effecten (3.13–3.16) en (iv) de waarborgen en processen (3.17–3.22).

    Vraag 3.4: Welk type persoonsgegevens wordt verwerkt en in welke hoedanigheid zijn de betrokkenen geraakt?

    De verwerking betreft ondernemingsgerichte gegevens over rechtspersonen, die worden verwerkt en beschikbaar gesteld voor professioneel gebruik (1.2). Het gaat om:

    • zakelijke identificatiegegevens van rechtspersonen (waaronder de ondernemingsnaam en andere ondernemingsidentificatoren); en
    • zakelijke classificatiegegevens van rechtspersonen (zoals sector- en organisatiekenmerken), voor zover gebruikt om rechtspersonen te onderscheiden en te segmenteren.

    De dataset is ondernemingsgericht ingericht. Tegelijk wordt erkend dat sommige verwerkte gegevens in bepaalde omstandigheden (bijvoorbeeld door combinatie met redelijkerwijs beschikbare informatie) (indirect) als persoonsgegevens kunnen kwalificeren. Voor zover dat het geval is, zijn betrokkenen geraakt in hun professionele hoedanigheid in relatie tot een rechtspersoon, en niet als privépersoon of consument.

    De verwerking omvat geen gegevens van ondernemingen zijnde niet-rechtspersonen (zoals zelfstandigen/eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid) en omvat geen persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam), conform de afbakening in 2.2 en 2.3.

    Vraag 3.5: Worden bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG verwerkt?

    Nee. Volgens de afbakening van de verwerking zoals hierboven beschreven (ondernemingsgerichte gegevens over rechtspersonen; uitsluiting van niet-rechtspersonen; en uitsluiting van persoonsgerichte identifiers zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) is de verwerking niet gericht op het verwerken van bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG.

    Vraag 3.6: Heeft de verwerking betrekking op persoonsgegevens van kinderen?

    Nee. De verwerking is ondernemingsgericht (rechtspersonen) en vindt plaats in een professionele context. De dataset omvat geen gegevens van ondernemingen zijnde niet-rechtspersonen (zoals zelfstandigen en eenmanszaken) en is niet ingericht op het verwerken van persoonsgegevens die betrekking hebben op natuurlijke personen in een particuliere of familiale context.

    Vraag 3.7: Heeft de verwerking betrekking op persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten in de zin van artikel 10 AVG?

    Nee. De verwerking is niet gericht op het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten in de zin van artikel 10 AVG en dergelijke persoonsgegevens maken geen onderdeel uit van de verwerkte gegevens.

    Vraag 3.8: Worden persoonsgegevens verwerkt die door betrokkenen als bijzonder privé kunnen worden ervaren, ook als zij niet onder artikel 9 of 10 AVG vallen?

    De verwerking is ondernemingsgericht, ziet uitsluitend op rechtspersonen en vindt plaats in een professionele context. Zij is niet gericht op het verwerken van privégegevens van betrokkenen (zoals gegevens over het privéleven, locatie- of gezinsgegevens, of andere informatie die typisch als privé wordt ervaren), maar op zakelijke identificatie- en classificatiegegevens over rechtspersonen ten behoeve van het doel uit 1.2. Waar dergelijke gegevens herleidbaar zouden kunnen zijn tot een natuurlijke persoon, is het mogelijk dat dergelijke gegevens als bijzonder privé kunnen worden ervaren, maar de kans daarop is door de vergaande dataminimalisatie en het weglaten van alle persoonsgerichte identifiers in de dataset die beschikbaar wordt gesteld aan klanten tot het uiterste beperkt.

    Vraag 3.9: Waar en wanneer zijn de persoonsgegevens verzameld?

    De gegevens worden niet rechtstreeks bij de betrokkenen verzameld. Ad Hoc Data verkrijgt gegevens via een ketenpartner die ondernemingsgerichte gegevens aanlevert.

    De verkrijging door Ad Hoc Data vindt doorlopend plaats als onderdeel van het samenstellen en actualiseren van een ondernemingsgerichte dataset over rechtspersonen (zie 2.4). Voor zover binnen deze gegevens informatie voorkomt die in context als persoonsgegevens kan kwalificeren, betreft dit gegevens die functioneel verbonden zijn aan de identificatie en classificatie van rechtspersonen in het handelsverkeer.

    Omdat sprake is van indirecte verkrijging, zijn de informatieverplichtingen in beginsel gebaseerd op artikel 14 AVG. De wijze waarop hieraan invulling wordt gegeven, evenals de omstandigheden waarin individuele kennisgeving niet passend of niet uitvoerbaar is, wordt nader toegelicht bij 3.11.

    Vraag 3.10: Hoe zijn de persoonsgegevens verzameld?

    Ad Hoc Data verzamelt de gegevens niet rechtstreeks bij betrokkenen, maar ontvangt deze via een ketenpartner als onderdeel van de samenstelling en doorlopende actualisering van de ondernemingsgerichte dataset (zie 2.4). De gegevensverzameling door Ad Hoc Data bestaat uit het ontvangen van gestructureerde gegevensaanleveringen van deze partner. Er is geen sprake van rechtstreekse interactie met betrokkenen (zoals via formulieren, enquêtes of andere directe verzamelmethoden). Voor zover binnen deze aanleveringen gegevens voorkomen die in context als persoonsgegevens kunnen kwalificeren, worden deze derhalve indirect verkregen. Met de ketenpartner zijn afspraken gemaakt over de aanlevering van gegevens binnen de geldende wettelijke kaders.

    Vraag 3.11: Hoe wordt de gegevensverwerking transparant gemaakt voor betrokkenen?

    De verwerkingsactiviteiten van Ad Hoc Data zijn zo ingericht dat de ondernemingsgerichte dataset die aan klanten beschikbaar wordt gesteld geen of zo min mogelijk persoonsgegevens bevat. De dataset is uitsluitend gericht op rechtspersonen, waarbij identificatoren die herleidbaar zouden kunnen zijn tot een natuurlijke persoon zoveel mogelijk zijn verwijderd. Voor zover binnen deze verwerking toch sprake is van persoonsgegevens, maakt Ad Hoc Data de verwerking transparant voor betrokkenen door de informatieverplichtingen bij indirecte verkrijging conform artikel 14 AVG structureel in te vullen.

    Ad Hoc Data publiceert en onderhoudt daartoe een publiek toegankelijk privacy statement (met bijbehorende toelichting op het gerechtvaardigd belang/LIA) waarin de kerninformatie uit artikel 14 lid 1 en 2 AVG wordt verstrekt. Deze informatie omvat onder meer de verwerkingsdoeleinden, de grondslag (waaronder artikel 6 lid 1 onder f AVG), de categorieën gegevens (met erkenning dat sommige gegevens in context als persoonsgegevens kunnen kwalificeren), de categorieën ontvangers, de bewaartermijnen, de rechten van betrokkenen (waaronder het recht van bezwaar) en de wijze waarop deze rechten kunnen worden uitgeoefend via een laagdrempelig contactpunt ([email protected]). Hiermee is de informatie voor betrokkenen vindbaar en bruikbaar, ook wanneer er geen individueel contactmoment met Ad Hoc Data bestaat.

    Omdat de gegevens niet rechtstreeks bij betrokkenen worden verkregen, omvat de transparantie-informatie tevens de herkomst en de categorieën van bronnen van de gegevens, zoals bedoeld in artikel 14 lid 2 onder f AVG.

    Daarnaast wordt in de gegevensketen gewerkt met afspraken en waarborgen die erop zijn gericht dat gegevensaanlevering en verdere verwerking plaatsvinden binnen de geldende wettelijke kaders. In dat kader verkrijgt Ad Hoc Data gegevens via een ketenpartner die heeft aangegeven dat de verwerking plaatsvindt conform de toepasselijke regelgeving, waaronder de naleving van relevante informatieverplichtingen binnen de keten. Dit draagt bij aan een consistente ketenbenadering van transparantie.

    Voor zover individuele kennisgeving aan betrokkenen onevenredige inspanning zou vergen of anderszins niet passend is in de zin van artikel 14 lid 5 AVG, worden passende alternatieve maatregelen getroffen om betrokkenen toch op transparante wijze te informeren, met name via publiek toegankelijke informatie en een effectief kanaal voor de uitoefening van rechten.

    Transparantie wordt aldus geborgd door een combinatie van publiek beschikbare informatie, ketenafspraken en praktische mogelijkheden voor betrokkenen om hun rechten daadwerkelijk uit te oefenen.

    Vraag 3.12: Bestaat er een relatie tussen de verwerkingsverantwoordelijke en de betrokkenen?

    Nee. In beginsel is er geen directe relatie tussen Ad Hoc Data en de betrokkenen van wie gegevens (in context) als persoonsgegevens kunnen kwalificeren, omdat de persoonsgegevens (waar relevant) indirect worden verkregen via een partner en worden verwerkt in een ondernemingsgerichte dataset over rechtspersonen.

    Vraag 3.13: Hoe omvangrijk is de gegevensverzameling en hoeveel personen worden geraakt?

    De verwerking is omvangrijk in die zin dat Ad Hoc Data een ondernemingsgerichte dataset onderhoudt die betrekking heeft op een groot aantal rechtspersonen en die doorlopend wordt geactualiseerd (zie 2.4 en 3.9–3.10). Het aantal verwerkte records en het aantal ondernemingen waarop de dataset ziet, kan daardoor aanzienlijk zijn.

    In het kader van de gegevensketen ontvangt Ad Hoc Data daarnaast gegevensaanleveringen die ook persoonsgegevens kunnen bevatten. Deze persoonsgegevens maken echter geen onderdeel uit van de beoogde ondernemingsgerichte dataset. Voorafgaand aan opname in de productieomgeving wordt een minimalisatiestap toegepast waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd. Deze gegevens worden niet opgenomen in de productieomgeving en worden niet aan klanten ter beschikking gesteld.

    Voor zover binnen de uiteindelijke ondernemingsgerichte dataset toch gegevens voorkomen die in context als persoonsgegevens kunnen kwalificeren, geldt dat het aantal betrokkenen functioneel beperkt is door de inrichting van de verwerking:

    • de dataset is gericht op rechtspersonen en omvat geen gegevens van ondernemingen die geen rechtspersoon zijn (zoals zelfstandigen, eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid); en
    • persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen, maken geen onderdeel uit van de verwerking (zie 2.2–2.3).

    Hierdoor blijft het bereik van de verwerking voor natuurlijke personen beperkt en bijkomstig ten opzichte van het ondernemingsgerichte karakter van de dataset.

    Vraag 3.14: Wat zijn de mogelijke negatieve effecten van de verwerking op betrokkenen? Hoe waarschijnlijk en hoe ernstig zijn die effecten? Is een DPIA of drempeltoets uitgevoerd?

    Voor zover binnen de ondernemingsgerichte dataset gegevens in context als persoonsgegevens kunnen kwalificeren, kunnen de volgende negatieve effecten voor betrokkenen relevant zijn:

    • Ongewenste benadering in professionele context, met name wanneer afnemers de dataset gebruiken voor zakelijke communicatie.
    • Nadelige gevolgen bij onjuistheden, bijvoorbeeld wanneer ondernemingsgegevens niet actueel of incorrect zijn en dit leidt tot misverstanden of onjuiste conclusies in een zakelijke context.
    • Beperkt verlies van controle over gegevens die (indirect) tot een natuurlijke persoon herleidbaar kunnen zijn, doordat gegevens binnen een zakelijke informatieketen worden verwerkt en beschikbaar gesteld.
    • Reputatie- of contextschade wanneer gegevens in een andere context worden geïnterpreteerd dan waarvoor ze ondernemingsgericht zijn bedoeld.

    De waarschijnlijkheid en ernst van deze effecten worden door de huidige inrichting van de verwerking beperkt, omdat:

    • de verwerking van gegevens is afgebakend tot die van rechtspersonen en omvat geen gegevens van ondernemingen zijnde niet-rechtspersonen;
    • persoonsgegevens die via gegevensaanleveringen worden ontvangen maar buiten de vastgestelde verwerkingsscope vallen, voorafgaand aan opname in de productieomgeving worden verwijderd en geen onderdeel uitmaken van de dataset die aan klanten beschikbaar wordt gesteld;
    • persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen geen onderdeel zijn van de verwerking; en
    • de verwerking plaatsvindt binnen een professionele context en niet is ingericht op persoonsgerichte benadering.

    Daarmee zijn mogelijke negatieve effecten in de regel beperkter in ernst dan bij verwerking die is gericht op direct identificerende contactdata of profiling van natuurlijke personen. Niettemin blijven negatieve effecten in individuele gevallen mogelijk, met name bij onjuistheden of ongewenst gebruik door afnemers.

    Er is een DPIA uitgevoerd voor deze verwerking. De DPIA ondersteunt de conclusie aangaande de beoordeling van (zeer beperkte) risico's voor betrokkenen.

    Vraag 3.15: Zijn er positieve effecten van de verwerking voor betrokkenen? Is de verwerking in het objectieve/veronderstelde belang van de betrokkene?

    Voor zover binnen de ondernemingsgerichte dataset gegevens in context als persoonsgegevens kunnen kwalificeren, kunnen er ook positieve effecten voor betrokkenen zijn, met name in hun professionele hoedanigheid:

    • Verbeterde juistheid en actualiteit van ondernemingsinformatie in het handelsverkeer, wat kan bijdragen aan minder miscommunicatie en minder fouten in zakelijke contacten.
    • Efficiënter zakelijk verkeer: betere identificatie en onderscheiding van rechtspersonen kan transacties en zakelijke interacties stroomlijnen en het risico op verwarring tussen gelijknamige entiteiten verminderen.
    • Transparantie en rechtszekerheid in professionele context: het kunnen verifiëren van ondernemingsgegevens ondersteunt voorspelbaarheid en betrouwbaarheid in zakelijke relaties.
    • Betere onderbouwing van zakelijke beslissingen en zorgvuldiger selectie van contractspartijen, wat kan bijdragen aan het voorkomen van misverstanden, fouten of risico's in het handelsverkeer.

    Of deze verwerking “in het objectieve/veronderstelde belang” van de betrokkene is, hangt af van de concrete situatie. In algemene zin is de verwerking niet primair bedoeld om een individueel voordeel voor een specifieke betrokkene te realiseren, maar zij kan wel bijdragen aan een beter functionerend handelsverkeer waarin betrokkenen in professionele context opereren.

    Vraag 3.16: Verliezen betrokkenen controle over het gebruik van hun persoonsgegevens? Zijn er waarborgen om de impact te beperken? Kunnen betrokkenen zelf waarborgen treffen?

    Voor zover binnen de ondernemingsgerichte dataset gegevens voorkomen die in context als persoonsgegevens kunnen kwalificeren, kunnen betrokkenen in zekere mate controleverlies ervaren, omdat de gegevens niet rechtstreeks bij hen worden verkregen en vervolgens binnen een zakelijke informatieketen worden verwerkt en beschikbaar gesteld aan professionele afnemers. Dit kan ertoe leiden dat betrokkenen niet op individueel niveau vooraf geïnformeerd zijn over iedere verwerking of verstrekking.

    De inrichting van de verwerking bevat echter structurele waarborgen die dit mogelijke controleverlies beperken:

    • de verwerking is gericht op een ondernemingsgerichte dataset over rechtspersonen; gegevens van ondernemingen die geen rechtspersoon zijn vallen buiten de scope (zie 2.2–2.3);
    • persoonsgegevens die via gegevensaanleveringen worden ontvangen maar buiten de vastgestelde verwerkingsscope vallen, worden voorafgaand aan opname in de productieomgeving verwijderd en maken geen onderdeel uit van de dataset die aan klanten beschikbaar wordt gesteld;
    • persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen maken geen onderdeel uit van de verwerking (2.2–2.3);
    • transparantie wordt geborgd via artikel 14 AVG met publiek toegankelijke informatie en een laagdrempelig contactpunt voor rechtenuitoefening (3.11);
    • er bestaan contractuele en ketenwaarborgen richting afnemers die het effect van verwijder- en bezwaarverzoeken ondersteunen (onder meer via het mechanisme van ontdubbellijsten en verwijderverplichtingen zoals eerder beschreven).

    Betrokkenen kunnen daarnaast zelf waarborgen benutten door hun AVG-rechten uit te oefenen (inzage, rectificatie, bezwaar, verwijdering en beperking) via het beschikbare contactkanaal. In het bijzonder kan bezwaar tegen verwerking op basis van gerechtvaardigd belang worden gemaakt (artikel 21 AVG), waarna de verwerking in de relevante context opnieuw moet worden beoordeeld en overeenkomstig de AVG moet worden opgevolgd.

    Voor zover ondernemingsgegevens afkomstig zijn uit registraties die verband houden met deelname aan het handelsverkeer, kunnen betrokkenen in de praktijk in zekere mate invloed uitoefenen op de juistheid en inhoud van die gegevens via de daarvoor bestemde registratiekanalen. Deze omstandigheid staat echter naast, en niet in de plaats van, de waarborgen die Ad Hoc Data zelf toepast, zoals gegevensminimalisatie, het uitsluiten van niet-rechtspersonen en het verwijderen van gegevens die natuurlijke personen rechtstreeks identificeerbaar of individueel benaderbaar maken.

    Vraag 3.17: Wie verwerkt de gegevens? Hoeveel personen hebben toegang? Welke waarborgen bestaan er (vertrouwelijkheid/toegangsbeperking)?

    De gegevens worden verwerkt door Ad Hoc Data als verwerkingsverantwoordelijke. Voor zover noodzakelijk voor de uitvoering van de verwerking maakt Ad Hoc Data daarnaast gebruik van zorgvuldig geselecteerde dienstverleners (bijvoorbeeld voor hosting/IT, beveiliging en ondersteunende bedrijfsprocessen) die toegang kunnen hebben tot (delen van) de gegevens binnen hun taakuitoefening. Klanten krijgen via het platform toegang tot (delen van) de ondernemingsgerichte dataset op basis van een overeenkomst. Voor de verdere verwerking van gegevens die zij uit de dataset gebruiken, handelen klanten als zelfstandige verwerkingsverantwoordelijken binnen hun eigen doeleinden en verantwoordelijkheden.

    Toegang binnen Ad Hoc Data en bij ingeschakelde dienstverleners is beperkt tot medewerkers/personen die deze toegang nodig hebben voor hun werkzaamheden (need-to-know/rolgebaseerd). Toegang voor klanten is beperkt tot geautoriseerde gebruikersaccounts binnen de organisatie van de klant en tot gegevens binnen de ondernemingsgerichte dataset. Het aantal personen met toegang is daardoor afhankelijk van de rolverdeling binnen Ad Hoc Data, de ingezette dienstverleners en het aantal geautoriseerde accounts bij klanten, maar is functioneel begrensd tot wat noodzakelijk is.

    De verwerking is ingericht met technische en organisatorische maatregelen om vertrouwelijkheid en integriteit te waarborgen, waaronder:

    • Toegangsbeperking: rolgebaseerde toegang en beperking tot geautoriseerde gebruikers binnen Ad Hoc Data en bij dienstverleners; platformtoegang voor klanten via individuele gebruikersaccounts.
    • Contractuele waarborgen: afspraken met dienstverleners en klanten over vertrouwelijkheid, toegestane doeleinden en naleving van toepasselijke wet- en regelgeving.
    • Structurele risicoreductie door gegevensminimalisatie: de ondernemingsgerichte dataset bevat geen gegevens van niet-rechtspersonen en geen persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen.
    • Beperkte en afgeschermde pre-processingtoegang: in het kader van de eerder beschreven minimalisatiestap kan een verwerker namens Ad Hoc Data en onder haar instructies tijdelijk toegang hebben tot ruwe gegevensaanleveringen, uitsluitend voor het uitvoeren van de geautomatiseerde filter- en verwijderstap. Gegevens die in deze stap worden verwijderd, worden niet opgenomen in de productieomgeving en zijn niet toegankelijk voor klanten.
    • Procesmatige waarborgen: procedures voor afhandeling van verzoeken van betrokkenen en voor het doorwerken van uitkomsten (zoals verwijdering of bezwaar) richting afnemers via ketenmechanismen (bijv. ontdubbellijsten), zodat verdere verwerking door klanten wordt tegengegaan waar dat aan de orde is.

    Deze combinatie van toegangsbeperking, contractuele borging, gegevensminimalisatie en ketenmaatregelen is gericht op het beperken van het aantal personen dat feitelijk toegang heeft en op het beschermen van de gegevens tegen ongeautoriseerde verwerking.

    Vraag 3.18: Vindt geautomatiseerde besluitvorming plaats in de zin van artikel 22 AVG?

    Nee. In het kader van deze verwerking vindt geen geautomatiseerde besluitvorming plaats die uitsluitend is gebaseerd op geautomatiseerde verwerking (waaronder profilering) en die rechtsgevolgen heeft voor betrokkenen of hen anderszins in aanmerkelijke mate treft in de zin van artikel 22 AVG.

    Vraag 3.19: Wordt de belangenafweging (art. 6(1)(f) AVG) toegelicht bij informatieverstrekking, incl. bij een inzageverzoek (art. 15 AVG)?

    Ja. Ad Hoc Data licht het gebruik van gerechtvaardigd belang als grondslag toe in de informatievoorziening aan betrokkenen en kan de belangenafweging desgevraagd nader toelichten.

    In de algemene informatievoorziening wordt vermeld dat de verwerking (voor zover in context persoonsgegevens aan de orde zijn) plaatsvindt op basis van artikel 6 lid 1 onder f AVG, welke belangen daarbij worden nagestreefd en welke waarborgen zijn getroffen. Dit maakt voor betrokkenen inzichtelijk waarom Ad Hoc Data deze grondslag toepast en hoe de afweging is ingericht. Deze informatie is publiek beschikbaar via het privacy statement en de bijbehorende toelichting op het gerechtvaardigd belang (deze LIA) op de website van Ad Hoc Data.

    Bij een inzageverzoek op grond van artikel 15 AVG kan Ad Hoc Data, binnen de kaders van de AVG, toelichten dat de verwerking is gebaseerd op gerechtvaardigd belang en de kern van de belangenafweging verschaffen, zodat de betrokkene de verwerking kan begrijpen en zijn rechten effectief kan uitoefenen.

    Vraag 3.20: Welke mogelijkheden tot bezwaar of interventierechten hebben betrokkenen? Is er een opt-out mogelijkheid?

    Betrokkenen kunnen hun rechten uitoefenen via [email protected]. In het kader van verwerking op basis van gerechtvaardigd belang zijn met name de volgende interventierechten relevant:

    • Recht van bezwaar (artikel 21 AVG): betrokkenen kunnen te allen tijde bezwaar maken tegen de verwerking van hun persoonsgegevens op basis van gerechtvaardigd belang. Wanneer een betrokkene bezwaar maakt, wordt beoordeeld of er dwingende gerechtvaardigde gronden bestaan om de verwerking voort te zetten. Indien dat niet het geval is, wordt de verwerking ten aanzien van de betreffende betrokkene beëindigd. Dit recht functioneert in de praktijk als een opt-outmogelijkheid voor verdere verwerking binnen de dataset.
    • Recht op inzage (artikel 15 AVG): betrokkenen kunnen informatie opvragen over de verwerking van hun persoonsgegevens.
    • Recht op rectificatie (artikel 16 AVG): betrokkenen kunnen verzoeken om onjuiste of onvolledige persoonsgegevens te corrigeren.
    • Recht op wissing (artikel 17 AVG): betrokkenen kunnen verzoeken om verwijdering van hun persoonsgegevens, voor zover aan de wettelijke voorwaarden is voldaan.
    • Recht op beperking van de verwerking (artikel 18 AVG): betrokkenen kunnen verzoeken de verwerking tijdelijk te beperken in de gevallen die in de AVG zijn voorzien.

    Wanneer een bezwaar of verzoek tot wissing wordt gehonoreerd, worden de betreffende gegevens verwijderd of afgeschermd binnen de dataset. Daarnaast wordt dit doorgevoerd richting klanten via het systeem van ontdubbellijsten of vergelijkbare mechanismen, zodat verdere verwerking van deze gegevens door afnemers wordt tegengegaan.

    Vraag 3.21: Is er een vastgesteld proces om een bezwaar (art. 21 AVG) of een verzoek tot wissing (art. 17 AVG) na te leven?

    Ja. Er is een vastgesteld proces om bezwaren en wissingverzoeken te ontvangen, te beoordelen en uit te voeren.

    • Ontvangst en identificatie: verzoeken kunnen worden ingediend via [email protected]. Ad Hoc Data vraagt, waar nodig, aanvullende informatie om de identiteit van de verzoeker redelijkerwijs vast te stellen en om te kunnen bepalen op welke gegevens het verzoek betrekking heeft.
    • Beoordeling: het verzoek wordt beoordeeld binnen de kaders van de AVG. Bij een bezwaar tegen verwerking op basis van gerechtvaardigd belang wordt beoordeeld of er dwingende gerechtvaardigde gronden bestaan om de verwerking voort te zetten. Bij een wissingverzoek wordt beoordeeld of wissing moet plaatsvinden of dat een wettelijke uitzondering van toepassing is.
    • Uitvoering: indien het verzoek wordt gehonoreerd, worden de betreffende gegevens verwijderd of afgeschermd binnen de ondernemingsgerichte dataset die door Ad Hoc Data wordt beheerd.
    • Keten-effectuering: voor zover gegevens eerder aan klanten ter beschikking zijn gesteld, worden afnemers via het mechanisme van ontdubbellijsten of vergelijkbare ketenmaatregelen geïnformeerd dat de betreffende gegevens niet langer (verder) mogen worden verwerkt, zodat zij als zelfstandig verwerkingsverantwoordelijke passende actie kunnen nemen.
    • Communicatie en vastlegging: Ad Hoc Data bevestigt de afhandeling aan de verzoeker en legt de behandeling van het verzoek vast ten behoeve van haar verantwoordingsplicht.

    Dit proces is erop ingericht om verzoeken tijdig, zorgvuldig en controleerbaar af te handelen en om, waar relevant, de uitkomst ook richting afnemers te laten doorwerken.

    Vraag 3.22: Is er een proces om het recht op rectificatie (art. 16 AVG) na te leven?

    Ja. Er is een vastgesteld proces om rectificatieverzoeken te ontvangen, te beoordelen en op te volgen.

    • Ontvangst en identificatie: rectificatieverzoeken kunnen worden ingediend via [email protected]. Waar nodig wordt aanvullende informatie gevraagd om de identiteit van de verzoeker redelijkerwijs vast te stellen en om te bepalen op welke gegevens het verzoek betrekking heeft.
    • Beoordeling van de juistheid: wanneer een betrokkene stelt dat gegevens onjuist of onvolledig zijn, beoordeelt Ad Hoc Data het verzoek in het licht van de aard van de gegevens, de context van de verwerking en de wijze waarop deze in de ondernemingsgerichte dataset zijn opgenomen.
    • Correctie binnen de eigen dataset: voor zover Ad Hoc Data zelf onjuistheden of onvolledigheden kan vaststellen binnen de gegevens die zij verwerkt, worden deze binnen een redelijke termijn gecorrigeerd of aangevuld in de ondernemingsgerichte dataset.
    • Relatie met externe bronnen: voor zover gegevens zijn gebaseerd op externe registraties of bronbestanden die Ad Hoc Data niet zelf beheert, wordt de betrokkene ook geïnformeerd over de mogelijkheid om correctie via de betreffende bron te laten plaatsvinden. Wijzigingen in dergelijke brongegevens worden via de reguliere update- en actualiseringscyclus doorgevoerd in de dataset van Ad Hoc Data.
    • Aanvullende rechten: betrokkenen kunnen daarnaast verzoeken om beperking van de verwerking (art. 18 AVG), wissing (art. 17 AVG) of bezwaar maken tegen de verwerking (art. 21 AVG); dergelijke verzoeken worden volgens de daarvoor geldende criteria beoordeeld.
    • Communicatie en vastlegging: Ad Hoc Data communiceert de uitkomst van het verzoek aan de betrokkene en legt de behandeling vast ten behoeve van haar verantwoordingsplicht.
    Na afweging van alle factoren: wegen de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van derden zwaarder dan de belangen van de betrokkenen?

    Ja. Na afweging van alle relevante factoren wegen de gerechtvaardigde belangen van Ad Hoc Data en haar zakelijke afnemers zwaarder dan de belangen of grondrechten en fundamentele vrijheden van betrokkenen, voor zover binnen de ondernemingsgerichte dataset gegevens in context als persoonsgegevens kunnen kwalificeren.

    Deze conclusie steunt op de volgende samenhangende elementen:

    • Aard en context van de verwerking: de verwerking is ondernemingsgericht, ziet op rechtspersonen in een professionele context en is niet ingericht op persoonsgerichte identificatie of benadering (3.4, 3.8).
    • Gegevenscategorieën en risicoprofiel: er worden geen bijzondere categorieën persoonsgegevens (art. 9 AVG) en geen gegevens inzake strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG) beoogd (3.5, 3.7).
    • Noodzakelijkheid en proportionaliteit: de verwerking dient het concrete doel van zakelijke identificatie en classificatie van rechtspersonen en is zodanig ingericht dat het mogelijke bereik van persoonsgegevens structureel wordt beperkt (2.1–2.5, 3.13).
    • Impact en controleverlies: mogelijke negatieve effecten bestaan met name in de sfeer van ongewenste zakelijke benadering of onjuistheden, maar de waarschijnlijkheid en ernst daarvan zijn beperkt door de gekozen inrichting (3.14–3.16).
    • Waarborgen en processen: transparantie wordt geborgd via art. 14 AVG met publiek toegankelijke informatie en een effectief rechtenkanaal (3.11), er is een DPIA uitgevoerd (3.14 ), en er bestaan processen voor bezwaar, wissing en rectificatie (3.20–3.22), inclusief ketenmechanismen die de doorwerking van uitkomsten richting afnemers ondersteunen.
    • Belangen van derden en handelsverkeer: afnemers hebben een legitiem belang bij actuele en betrouwbare ondernemingsinformatie voor professionele toepassingen (zoals identificatie, segmentatie, communicatie en risicobeoordeling), en dit belang kan niet op vergelijkbaar effectieve wijze worden gerealiseerd zonder de verwerkingshandeling zoals ingericht (1.1–1.3, 2.1).

    Gelet op deze factoren, en mede omdat de verwerking binnen een beperkt en geminimaliseerd kader plaatsvindt met effectieve rechten- en waarborgmechanismen, is de resterende inbreuk op de belangen van betrokkenen beperkt en proportioneel. Daarmee is de verwerking op basis van artikel 6 lid 1 onder f AVG in dit kader gerechtvaardigd.

  5. Hoofdstuk 4


    Vraag 4.1: Documenteer deze antwoorden en de uitkomst van de belangenafweging

    De beantwoording van de vragen in deze drie-stappen-toets (1. gerechtvaardigd belang, 2. noodzakelijkheid en 3. belangenafweging) is vastgelegd in dit LIA-document. Dit document bevat:

    • een beschrijving van de verwerkingsactiviteit, de betrokken data en de relevante context (ondernemingsgerichte dataset; indirecte verkrijging via de keten);
    • de formulering van het nagestreefde gerechtvaardigd belang en het specifieke verwerkingsdoel;
    • de beoordeling van de noodzakelijkheid en de toegepaste gegevensminimaliserende inrichting;
    • de belangenafweging met aandacht voor de aard van de (mogelijke) persoonsgegevens, redelijke verwachtingen, omvang, risico's, waarborgen en rechten van betrokkenen; en
    • de eindconclusie dat, na weging van alle factoren, het gerechtvaardigd belang van Ad Hoc Data en haar afnemers prevaleert, voor zover in context sprake kan zijn van persoonsgegevens.

    Deze documentatie wordt intern bewaard als onderdeel van de AVG-verantwoordingsplicht (art. 5 lid 2 AVG) en kan worden gebruikt als onderbouwing bij interne besluitvorming, bij audits/compliance reviews en bij eventuele vragen van toezichthouders. Tevens wordt deze, in het belang van transparantie, gepubliceerd op de website van Ad Hoc Data.

    Vraag 4.2: Is deze beoordeling beoordeeld door een functionaris gegevensbescherming (FG) of een onafhankelijke partij?

    Ja. Deze LIA is voorgelegd aan de functionaris gegevensbescherming (FG) van Ad Hoc Data voor beoordeling binnen de interne privacy/compliance-governance.

    Vraag 4.3: Is er een proces om deze beoordeling periodiek te herzien en te actualiseren?

    Ja. Ad Hoc Data hanteert een proces om deze LIA periodiek te herzien en te actualiseren, zodat de beoordeling blijft aansluiten bij de feitelijke verwerking en de risico's. Daarbij geldt in ieder geval dat herziening plaatsvindt:

    • bij materiële wijzigingen in de verwerkingsactiviteit (doeleinden, gegevenscategorieën, bronnen/ketenpartners, ontvangers, platformfunctionaliteiten, bewaartermijnen of waarborgen);
    • bij relevante wijzigingen in wet- en regelgeving, toezichthoudende richtsnoeren of interpretatiekaders die impact kunnen hebben op de toepassing van art. 6(1)(f) AVG; en
    • naar aanleiding van signalen uit de praktijk (bijv. patronen in verzoeken van betrokkenen, klachten, incidenten, of bevindingen uit interne controles/audits of de DPIA-reviewcyclus).

    De uitkomst van een herziening wordt gedocumenteerd (met datum/versie) en waar relevant opnieuw voorgelegd binnen de interne governance (waaronder de FG).



Loading...