Brussel, Februari 2026

Voor een aantal verwerkingsactiviteiten baseert Ad Hoc Data zich op het gerechtvaardigd belang als bedoeld in artikel 6 lid 1 onder f AVG. Deze grondslag mag niet lichtvaardig worden gebruikt. De AVG verlangt dat per concrete verwerking aantoonbaar wordt getoetst of sprake is van een gerechtvaardigd belang, of de verwerking noodzakelijk is om dat belang te realiseren en of, na afweging, de rechten en vrijheden van betrokkenen niet zwaarder wegen. Dit vereist een gestructureerde, inhoudelijke en goed gedocumenteerde beoordeling.
Om deze beoordeling op het juiste niveau van zorgvuldigheid uit te voeren, heeft Ad Hoc Data deze Legitimate Interest Assessment (LIA) opgesteld aan de hand van een recent gepubliceerd toetsingskader van de Hamburg Commissioner for Data Protection and Freedom of Information, een Europese gegevensbeschermingsautoriteit. Dit vragenkader is specifiek ontwikkeld om verwerkingsverantwoordelijken te ondersteunen bij het systematisch en controleerbaar toepassen van artikel 6 lid 1 onder f AVG. Het document sluit aan bij de actuele Europese interpretatie van het gerechtvaardigd belang en vertaalt deze naar een praktische, gestructureerde driedelige toets.
Door deze gezaghebbende en recente structuur te hanteren, onderbouwt Ad Hoc Data haar keuze voor het gerechtvaardigd belang op een wijze die aansluit bij de huidige Europese toezichtpraktijk. Hiermee wordt zichtbaar dat deze grondslag niet uit gemak wordt gekozen, maar dat de verwerking inhoudelijk is getoetst op noodzakelijkheid, proportionaliteit en de aanwezigheid van passende waarborgen ter bescherming van betrokkenen.
Deze LIA weerspiegelt een recente herbeoordeling van de verwerkingsactiviteiten van Ad Hoc Data en de wijze waarop gegevens worden verwerkt en geminimaliseerd voordat zij aan klanten beschikbaar worden gesteld. De analyse in dit document is daarmee actueel en gebaseerd op de feitelijke inrichting van de verwerking.
De beantwoording van de vragen in deze LIA maakt inzichtelijk welk concreet belang met de verwerking wordt nagestreefd, waarom de verwerking noodzakelijk is om dat belang te realiseren, welke mogelijke gevolgen voor betrokkenen zijn geïdentificeerd en welke technische, organisatorische en juridische waarborgen zijn getroffen om de impact voor betrokkenen te beperken. Dit document dient daarmee niet alleen ter interne verantwoording, maar ook ter externe transparantie richting betrokkenen en toezichthoudende autoriteiten. Het laat zien dat Ad Hoc Data het gerechtvaardigd belang toepast binnen de kaders van de AVG, met expliciete aandacht voor zorgvuldigheid, proportionaliteit en de bescherming van betrokkenen.
Het belang bij de verwerkingsactiviteit is het kunnen aanbieden van een actuele, betrouwbare en gestructureerde zakelijke databank die ondernemingen ondersteunt bij hun commerciële en organisatorische activiteiten, zoals marktverkenning, zakelijke communicatie, risicobeoordeling en strategische besluitvorming.
Ad Hoc Data heeft er een gerechtvaardigd belang bij om bepaalde persoonsgegevens te verwerken die onlosmakelijk verbonden zijn aan rechtspersonen en noodzakelijk zijn om zakelijke informatie bruikbaar en contextueel relevant te maken voor haar (potentiële) klanten (hierna gemakshalve ‘klanten') zodat deze de gegevens kunnen gebruiken voor hun eigen zakelijke doeleinden. Dit document ziet op het gerechtvaardigd belang van Ad Hoc Data bij de verwerking van eventuele persoonsgegevens in het kader van de dienstverlening aan haar klanten.
De belangen bestaan concreet uit:
Deze belangen worden nagestreefd met inachtneming van de beginselen van de AVG, in het bijzonder gegevensminimalisatie, doelbinding en transparantie en is nadrukkelijk beperkt tot wat noodzakelijk is voor de beoogde zakelijke doeleinden van de klanten van Ad Hoc Data.
Het specifieke doel van de verwerking door Ad Hoc Data is het verzamelen, structureren, actualiseren en beschikbaar stellen van zakelijke identificatie- en classificatiegegevens over rechtspersonen aan professionele afnemers, zodat zij rechtspersonen kunnen identificeren, onderscheiden, segmenteren en contacteren binnen het handelsverkeer.
De verwerking is daarbij strikt beperkt tot gegevens die functioneel noodzakelijk zijn om de volgende doelen (ook ‘het doel') te bereiken :
Het belang bij de verwerking wordt in de eerste plaats nagestreefd door Ad Hoc Data zelf, in haar rol als verwerkingsverantwoordelijke, in het kader van haar kernactiviteit: het aanbieden van zakelijke data aan professionele afnemers.
Daarnaast worden met deze verwerking ook de gerechtvaardigde belangen van derden, met name de klanten van Ad Hoc Data, gediend. Deze klanten gebruiken de door Ad Hoc Data beschikbaar gestelde zakelijke informatie voor professionele doeleinden, zoals marktverkenning, zakelijke communicatie, risicobeoordeling, compliance-doeleinden en strategische besluitvorming binnen hun eigen ondernemingsactiviteiten.
De verwerking dient aldus:
De verwerking is niet gericht op belangen van andere derden buiten deze context en dient geen doeleinden die losstaan van professioneel en zakelijk gebruik binnen het handelsverkeer.
Ja. Het nagestreefde belang is rechtmatig en niet in strijd met toepasselijk Unierecht of nationaal recht.
De verwerking is gericht op het aanbieden en onderhouden van zakelijke informatieproducten over rechtspersonen voor professioneel gebruik in het handelsverkeer. Voor zover binnen deze gegevens (indirect) persoonsgegevens zouden voorkomen, is de verwerking beperkt tot wat functioneel noodzakelijk is voor ondernemingsidentificatie en zakelijke classificatie, binnen de kaders van de AVG.
De verwerking is niet gericht op het verwerken van bijzondere categorieën persoonsgegevens (art. 9 AVG) of gegevens inzake strafrechtelijke veroordelingen en strafbare feiten (art. 10 AVG), en omvat geen geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare significante gevolgen in de zin van artikel 22 AVG.
De verwerkingsactiviteit is zodanig ingericht dat:
Ja, het gerechtvaardigde belang is duidelijk en precies geformuleerd.
Het nagestreefde belang van Ad Hoc Data is expliciet omschreven en afgebakend tot het aanbieden van zakelijke informatie over rechtspersonen ten behoeve van professioneel gebruik binnen het handelsverkeer. De verwerking is gericht op gegevens van rechtspersonen die deelnemen aan het handelsverkeer en is niet gericht op natuurlijke personen als zodanig.
Deze afbakening komt concreet tot uitdrukking in de inrichting van de verwerking. De verwerking is beperkt tot gegevens betreffende rechtspersonen. Gegevens van ondernemingen die geen rechtspersoon zijn (zoals zelfstandigen, eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid) maken geen onderdeel uit van de verwerkingsactiviteiten.
Daarnaast is de verwerking ingericht volgens het beginsel van gegevensminimalisatie. Alleen gegevens die functioneel noodzakelijk zijn om rechtspersonen in een zakelijke context te identificeren en te onderscheiden, worden verwerkt. Gegevenscategorieën die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen, maken geen onderdeel uit van de verwerkingsactiviteiten.
Ja. Het nagestreefde belang is reëel, actueel en concreet, en niet speculatief of hypothetisch van aard.
Het belang vloeit rechtstreeks voort uit de huidige en voortdurende bedrijfsactiviteiten van Ad Hoc Data: het aanbieden van een ondernemingsgerichte database met zakelijke identificatie- en classificatiegegevens over rechtspersonen aan professionele afnemers. De verwerking van gegevens vindt uitsluitend plaats voor zover dit noodzakelijk is om deze bestaande dienstverlening te kunnen leveren, te onderhouden en actueel te houden.
De verwerking is niet gericht op toekomstige of nog onbepaalde gebruiksscenario's en niet bedoeld voor hypothetische, niet-uitgevoerde bedrijfsmodellen. Het belang manifesteert zich in concrete, doorlopende activiteiten, waaronder het structureren, actualiseren en beschikbaar stellen van ondernemingsgegevens binnen het afgebakende verwerkingskader (waarbij gegevens van niet-rechtspersonen en persoonsgerichte identifiers niet worden verwerkt).
Daarmee is het belang objectief vast te stellen en actueel aanwezig ten tijde van de beoordeling.
Ja. Voor het specifieke doel zoals omschreven in 1.2 (het verzamelen, structureren, actualiseren en beschikbaar stellen van zakelijke identificatie- en classificatiegegevens over rechtspersonen aan professionele afnemers) is verwerking van de gebruikte gegevens noodzakelijk. Zonder verwerking kunnen de beoogde doeleinden van Ad Hoc Data en derden niet worden gerealiseerd.
Minder ingrijpende middelen zijn in de huidige inrichting van de verwerking toegepast door het bereik van (mogelijke) persoonsgegevens structureel te reduceren.
Concreet houdt dit in dat:
Verdergaande alternatieven (bijvoorbeeld het structureel weglaten of onherkenbaar maken van essentiële identificerende ondernemingsgegevens) zouden er toe leiden dat rechtspersonen niet meer eenduidig kunnen worden geïdentificeerd of onderscheiden en daarmee het niet langer mogelijk maken de doeleinden uit 1.2 redelijkerwijs te bereiken. Daarom is gekozen voor een inrichting waarin het doel kan worden bereikt met een zo beperkt mogelijk bereik van (mogelijke) persoonsgegevens, zonder de benodigde noodzakelijke functionaliteit te verliezen.
Ja. De verwerking is beperkt tot gegevens die noodzakelijk zijn voor het specifieke doel zoals omschreven in dit document: het verzamelen, structureren, actualiseren en beschikbaar stellen van gegevens die noodzakelijk zijn voor (zakelijke) identificatie- en classificatiegegevens over rechtspersonen voor professioneel gebruik.
De begrenzing tot het noodzakelijke blijkt uit de volgende afbakeningen in de verwerking:
Hoewel de verwerking ondernemingsgericht is ingericht, kan niet worden uitgesloten dat bepaalde verwerkte gegevens in specifieke omstandigheden (bijvoorbeeld in combinatie met redelijkerwijs andere beschikbare informatie) als persoonsgegevens kunnen kwalificeren. De kans hierop wordt beperkt door persoonsgerichte contact- en identificatiegegevens niet op te nemen in de database die toegankelijk is voor klanten en te beperken tot wat noodzakelijk is voor het ondernemingsgerichte doel en worden persoonsgerichte contact- en identificatiegegevens buiten scope gehouden.
Ten behoeve van haar dienstverlening ontvangt Ad Hoc Data gegevens van partners. Deze aanleveringen kunnen ook persoonsgegevens bevatten. Dergelijke persoonsgegevens maken echter geen onderdeel uit van de beoogde ondernemingsgerichte dataset die beschikbaar wordt gesteld aan klanten. Daarom wordt voorafgaand aan opname in de productieomgeving een minimalisatiestap toegepast, waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd. Hierdoor wordt gewaarborgd dat persoonsgegevens die niet noodzakelijk zijn voor het ondernemingsgerichte doel van de verwerking geen onderdeel uitmaken van de dataset die door Ad Hoc Data aan haar klanten ter beschikking wordt gesteld.
Ja. Het aantal betrokkenen is beperkt tot wat noodzakelijk is voor het ondernemingsgerichte doel zoals omschreven bij 1.2.
Die beperking volgt uit de huidige afbakening van de verwerking:
Hierdoor wordt vermeden dat gegevens van natuurlijke personen buiten de ondernemingsgerichte context van rechtspersonen onnodig in de verwerking worden betrokken. Voor zover gegevens in deze ondernemingsgerichte dataset in bepaalde omstandigheden als persoonsgegevens kunnen kwalificeren, blijft het bereik daarvan beperkt door deze structurele afbakeningen en minimalisaties.
Het doel van de gegevensverwerking is (mede) het beschikbaar stellen en houden van actuele datasets. Om die reden is er een doorlopend proces van het verkrijgen, structureren, actualiseren, minimaliseren tot de noodzakelijke gegevens en (vervolgens) beschikbaar stellen van ondernemingsgerichte gegevens over rechtspersonen aan klanten ten behoeve van het in 1.2 omschreven doel.
De noodzaak van deze verwerking is daarmee eveneens doorlopend: het doel veronderstelt dat de beschikbare dataset actueel blijft en dat wijzigingen in ondernemingsgegevens in de tijd kunnen worden verwerkt. De verwerking is niet beperkt tot een eenmalige handeling of een eenmalige dataset, maar betreft een voortdurende actualisering binnen het afgebakende verwerkingskader zoals beschreven in bepaling 2.1–2.3.
De verwerking omvat uitsluitend die stappen die noodzakelijk zijn om het doel uit 1.2 te bereiken: het beschikbaar stellen van een bruikbare, actuele en gestructureerde ondernemingsgerichte dataset over rechtspersonen voor professioneel gebruik.
In dat kader zijn de volgende verwerkingsstappen functioneel noodzakelijk:
De genoemde minimalisatiestap is een noodzakelijke maatregel om te waarborgen dat uitsluitend gegevens die functioneel noodzakelijk zijn voor het ondernemingsgerichte doel onderdeel worden van de dataset die aan klanten ter beschikking wordt gesteld. Gegevens die in deze stap worden verwijderd, worden niet opgenomen in de productieomgeving.
Tegelijkertijd is de verwerking zodanig ingericht dat stappen die niet noodzakelijk zijn voor dit doel achterwege blijven. Dit blijkt uit de afbakening dat de verwerking niet is ingericht op persoonsgerichte identificatie of benadering en dat categorieën persoonsgerichte identifiers geen onderdeel vormen van de verwerking (zoals beschreven in 2.2 en 2.3).
Ja. Er is een verwijderingsconcept en er zijn bewaartermijnen vastgelegd, passend bij het doorlopende karakter van de verwerking (2.4) en het doel zoals omschreven in 1.2.
De dataset wordt periodiek geactualiseerd. In dat kader worden gegevens beheerd volgens het beginsel van opslagbeperking: gegevens blijven niet onbeperkt beschikbaar, maar worden binnen de dataset aangepast en uitgefaseerd wanneer zij niet langer actueel of zakelijk relevant zijn voor het doel uit 1.2. Voor zover binnen deze ondernemingsgerichte gegevens in context persoonsgegevens kunnen voorkomen, geldt dezelfde logica: zij worden niet langer bewaard dan noodzakelijk voor het gerechtvaardigde belang dat met de dienstverlening wordt nagestreefd en vallen onder het reguliere actualiserings- en verwijderproces.
Verzoeken van betrokkenen tot verwijdering van persoonsgegevens worden altijd gehonoreerd, voor zover er geen wettelijke uitzondering van toepassing is. Deze verzoeken worden behandeld en afgehandeld binnen de termijnen zoals voorgeschreven door de AVG.
Op grond van de contractuele afspraken met klanten geldt dat door klanten verkregen gegevens na beëindiging van de klantovereenkomst nog maximaal 90 dagen bewaard mogen blijven en daarna door de klant moeten worden verwijderd.
Ten behoeve van haar dienstverlening ontvangt Ad Hoc Data gegevens van partners. Deze aanleveringen kunnen ook persoonsgegevens bevatten. Dergelijke persoonsgegevens maken echter geen onderdeel uit van de beoogde ondernemingsgerichte dataset die beschikbaar wordt gesteld aan klanten. Daarom wordt voorafgaand aan opname in de productieomgeving een minimalisatiestap toegepast, waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd. Deze gegevens worden uitsluitend verwerkt voor zover nodig om deze filtering uit te voeren en worden niet opgenomen in de productieomgeving. Na uitvoering van deze stap worden dergelijke persoonsgegevens niet verder bewaard binnen de operationele systemen van Ad Hoc Data.
Ja. Er is een overzicht van de bestaande en geplande datastromen die plaatsvinden op basis van gerechtvaardigd belang, zodat inzichtelijk is hoe ondernemingsgerichte gegevens (en gegevens die in context als persoonsgegevens kunnen kwalificeren) door de keten bewegen in het kader van het doel zoals omschreven in 1.2.
Dit omvat:
De verwerking kan met name het grondrecht op bescherming van persoonsgegevens (artikel 8 Handvest van de grondrechten van de EU) en het daarmee samenhangende recht op eerbiediging van het privéleven (artikel 7 Handvest) raken, voor zover binnen de ondernemingsgerichte dataset betreffende rechtspersonen gegevens voorkomen die in de gegeven context als persoonsgegevens kunnen kwalificeren.
Gelet op het doel en de inrichting van de verwerking is de relevantie van andere grondrechten (zoals non-discriminatie of vrijheid van meningsuiting) niet het primaire aanknopingspunt in deze verwerking, omdat de verwerking is afgebakend tot ondernemingsgerichte identificatie- en classificatiegegevens over rechtspersonen en persoonsgerichte identifiers (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) geen onderdeel vormen van de verwerking.
Voor zover beoordeeld in het kader van deze verwerking worden de fundamentele vrijheden in de zin van het VWEU (zoals vrijheid van vestiging, vrij verkeer van diensten, goederen, werknemers en kapitaal) niet het primaire object van de verwerking en worden zij door deze verwerking niet rechtstreeks beperkt of geraakt.
De verwerking ziet op het verwerken en beschikbaar stellen van ondernemingsgerichte gegevens over rechtspersonen in een professionele context. Eventuele gevolgen voor de positie van betrokkenen in het economisch verkeer zouden, als zij zich al voordoen, eerder indirect zijn, gekoppeld zijn aan de rechtspersoon en niet zozeer aan het individu en worden daarom betrokken bij de beoordeling van de mogelijke effecten en impact niet als een zelfstandige, directe beperking van VWEU-vrijheden beschouwd.
Ja, er is rekening gehouden met andere belangen van betrokkenen. Naast de grondrechten (3.1) en eventuele relevante vrijheden (3.2) worden ook de belangen van betrokkenen meegewogen, voor zover de verwerking in de gegeven context gevolgen kan hebben.
Binnen deze ondernemingsgerichte verwerking zijn met name de volgende belangen relevant om te betrekken:
Deze belangen worden in de verdere beoordeling concreter gemaakt aan de hand van (i) het type gegevens (3.4–3.8), (ii) de redelijke verwachtingen (3.9–3.12), (iii) de mogelijke negatieve en positieve effecten (3.13–3.16) en (iv) de waarborgen en processen (3.17–3.22).
De verwerking betreft ondernemingsgerichte gegevens over rechtspersonen, die worden verwerkt en beschikbaar gesteld voor professioneel gebruik (1.2). Het gaat om:
De dataset is ondernemingsgericht ingericht. Tegelijk wordt erkend dat sommige verwerkte gegevens in bepaalde omstandigheden (bijvoorbeeld door combinatie met redelijkerwijs beschikbare informatie) (indirect) als persoonsgegevens kunnen kwalificeren. Voor zover dat het geval is, zijn betrokkenen geraakt in hun professionele hoedanigheid in relatie tot een rechtspersoon, en niet als privépersoon of consument.
De verwerking omvat geen gegevens van ondernemingen zijnde niet-rechtspersonen (zoals zelfstandigen/eenmanszaken en andere natuurlijke personen zonder rechtspersoonlijkheid) en omvat geen persoonsgerichte identifiers die primair zijn bedoeld of geschikt om natuurlijke personen rechtstreeks te identificeren of te benaderen (zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam), conform de afbakening in 2.2 en 2.3.
Nee. Volgens de afbakening van de verwerking zoals hierboven beschreven (ondernemingsgerichte gegevens over rechtspersonen; uitsluiting van niet-rechtspersonen; en uitsluiting van persoonsgerichte identifiers zoals namen van zaakvoerders/eigenaars/bestuursleden, mobiele telefoonnummers en e-mailadressen met persoonsnaam/voornaam) is de verwerking niet gericht op het verwerken van bijzondere categorieën van persoonsgegevens in de zin van artikel 9 AVG.
Nee. De verwerking is ondernemingsgericht (rechtspersonen) en vindt plaats in een professionele context. De dataset omvat geen gegevens van ondernemingen zijnde niet-rechtspersonen (zoals zelfstandigen en eenmanszaken) en is niet ingericht op het verwerken van persoonsgegevens die betrekking hebben op natuurlijke personen in een particuliere of familiale context.
Nee. De verwerking is niet gericht op het verwerken van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten in de zin van artikel 10 AVG en dergelijke persoonsgegevens maken geen onderdeel uit van de verwerkte gegevens.
De verwerking is ondernemingsgericht, ziet uitsluitend op rechtspersonen en vindt plaats in een professionele context. Zij is niet gericht op het verwerken van privégegevens van betrokkenen (zoals gegevens over het privéleven, locatie- of gezinsgegevens, of andere informatie die typisch als privé wordt ervaren), maar op zakelijke identificatie- en classificatiegegevens over rechtspersonen ten behoeve van het doel uit 1.2. Waar dergelijke gegevens herleidbaar zouden kunnen zijn tot een natuurlijke persoon, is het mogelijk dat dergelijke gegevens als bijzonder privé kunnen worden ervaren, maar de kans daarop is door de vergaande dataminimalisatie en het weglaten van alle persoonsgerichte identifiers in de dataset die beschikbaar wordt gesteld aan klanten tot het uiterste beperkt.
De gegevens worden niet rechtstreeks bij de betrokkenen verzameld. Ad Hoc Data verkrijgt gegevens via een ketenpartner die ondernemingsgerichte gegevens aanlevert.
De verkrijging door Ad Hoc Data vindt doorlopend plaats als onderdeel van het samenstellen en actualiseren van een ondernemingsgerichte dataset over rechtspersonen (zie 2.4). Voor zover binnen deze gegevens informatie voorkomt die in context als persoonsgegevens kan kwalificeren, betreft dit gegevens die functioneel verbonden zijn aan de identificatie en classificatie van rechtspersonen in het handelsverkeer.
Omdat sprake is van indirecte verkrijging, zijn de informatieverplichtingen in beginsel gebaseerd op artikel 14 AVG. De wijze waarop hieraan invulling wordt gegeven, evenals de omstandigheden waarin individuele kennisgeving niet passend of niet uitvoerbaar is, wordt nader toegelicht bij 3.11.
Ad Hoc Data verzamelt de gegevens niet rechtstreeks bij betrokkenen, maar ontvangt deze via een ketenpartner als onderdeel van de samenstelling en doorlopende actualisering van de ondernemingsgerichte dataset (zie 2.4). De gegevensverzameling door Ad Hoc Data bestaat uit het ontvangen van gestructureerde gegevensaanleveringen van deze partner. Er is geen sprake van rechtstreekse interactie met betrokkenen (zoals via formulieren, enquêtes of andere directe verzamelmethoden). Voor zover binnen deze aanleveringen gegevens voorkomen die in context als persoonsgegevens kunnen kwalificeren, worden deze derhalve indirect verkregen. Met de ketenpartner zijn afspraken gemaakt over de aanlevering van gegevens binnen de geldende wettelijke kaders.
De verwerkingsactiviteiten van Ad Hoc Data zijn zo ingericht dat de ondernemingsgerichte dataset die aan klanten beschikbaar wordt gesteld geen of zo min mogelijk persoonsgegevens bevat. De dataset is uitsluitend gericht op rechtspersonen, waarbij identificatoren die herleidbaar zouden kunnen zijn tot een natuurlijke persoon zoveel mogelijk zijn verwijderd. Voor zover binnen deze verwerking toch sprake is van persoonsgegevens, maakt Ad Hoc Data de verwerking transparant voor betrokkenen door de informatieverplichtingen bij indirecte verkrijging conform artikel 14 AVG structureel in te vullen.
Ad Hoc Data publiceert en onderhoudt daartoe een publiek toegankelijk privacy statement (met bijbehorende toelichting op het gerechtvaardigd belang/LIA) waarin de kerninformatie uit artikel 14 lid 1 en 2 AVG wordt verstrekt. Deze informatie omvat onder meer de verwerkingsdoeleinden, de grondslag (waaronder artikel 6 lid 1 onder f AVG), de categorieën gegevens (met erkenning dat sommige gegevens in context als persoonsgegevens kunnen kwalificeren), de categorieën ontvangers, de bewaartermijnen, de rechten van betrokkenen (waaronder het recht van bezwaar) en de wijze waarop deze rechten kunnen worden uitgeoefend via een laagdrempelig contactpunt ([email protected]). Hiermee is de informatie voor betrokkenen vindbaar en bruikbaar, ook wanneer er geen individueel contactmoment met Ad Hoc Data bestaat.
Omdat de gegevens niet rechtstreeks bij betrokkenen worden verkregen, omvat de transparantie-informatie tevens de herkomst en de categorieën van bronnen van de gegevens, zoals bedoeld in artikel 14 lid 2 onder f AVG.
Daarnaast wordt in de gegevensketen gewerkt met afspraken en waarborgen die erop zijn gericht dat gegevensaanlevering en verdere verwerking plaatsvinden binnen de geldende wettelijke kaders. In dat kader verkrijgt Ad Hoc Data gegevens via een ketenpartner die heeft aangegeven dat de verwerking plaatsvindt conform de toepasselijke regelgeving, waaronder de naleving van relevante informatieverplichtingen binnen de keten. Dit draagt bij aan een consistente ketenbenadering van transparantie.
Voor zover individuele kennisgeving aan betrokkenen onevenredige inspanning zou vergen of anderszins niet passend is in de zin van artikel 14 lid 5 AVG, worden passende alternatieve maatregelen getroffen om betrokkenen toch op transparante wijze te informeren, met name via publiek toegankelijke informatie en een effectief kanaal voor de uitoefening van rechten.
Transparantie wordt aldus geborgd door een combinatie van publiek beschikbare informatie, ketenafspraken en praktische mogelijkheden voor betrokkenen om hun rechten daadwerkelijk uit te oefenen.
Nee. In beginsel is er geen directe relatie tussen Ad Hoc Data en de betrokkenen van wie gegevens (in context) als persoonsgegevens kunnen kwalificeren, omdat de persoonsgegevens (waar relevant) indirect worden verkregen via een partner en worden verwerkt in een ondernemingsgerichte dataset over rechtspersonen.
De verwerking is omvangrijk in die zin dat Ad Hoc Data een ondernemingsgerichte dataset onderhoudt die betrekking heeft op een groot aantal rechtspersonen en die doorlopend wordt geactualiseerd (zie 2.4 en 3.9–3.10). Het aantal verwerkte records en het aantal ondernemingen waarop de dataset ziet, kan daardoor aanzienlijk zijn.
In het kader van de gegevensketen ontvangt Ad Hoc Data daarnaast gegevensaanleveringen die ook persoonsgegevens kunnen bevatten. Deze persoonsgegevens maken echter geen onderdeel uit van de beoogde ondernemingsgerichte dataset. Voorafgaand aan opname in de productieomgeving wordt een minimalisatiestap toegepast waarbij persoonsgegevens en andere gegevenscategorieën die buiten de vastgestelde verwerkingsscope vallen, worden verwijderd. Deze gegevens worden niet opgenomen in de productieomgeving en worden niet aan klanten ter beschikking gesteld.
Voor zover binnen de uiteindelijke ondernemingsgerichte dataset toch gegevens voorkomen die in context als persoonsgegevens kunnen kwalificeren, geldt dat het aantal betrokkenen functioneel beperkt is door de inrichting van de verwerking:
Hierdoor blijft het bereik van de verwerking voor natuurlijke personen beperkt en bijkomstig ten opzichte van het ondernemingsgerichte karakter van de dataset.
Voor zover binnen de ondernemingsgerichte dataset gegevens in context als persoonsgegevens kunnen kwalificeren, kunnen de volgende negatieve effecten voor betrokkenen relevant zijn:
De waarschijnlijkheid en ernst van deze effecten worden door de huidige inrichting van de verwerking beperkt, omdat:
Daarmee zijn mogelijke negatieve effecten in de regel beperkter in ernst dan bij verwerking die is gericht op direct identificerende contactdata of profiling van natuurlijke personen. Niettemin blijven negatieve effecten in individuele gevallen mogelijk, met name bij onjuistheden of ongewenst gebruik door afnemers.
Er is een DPIA uitgevoerd voor deze verwerking. De DPIA ondersteunt de conclusie aangaande de beoordeling van (zeer beperkte) risico's voor betrokkenen.
Voor zover binnen de ondernemingsgerichte dataset gegevens in context als persoonsgegevens kunnen kwalificeren, kunnen er ook positieve effecten voor betrokkenen zijn, met name in hun professionele hoedanigheid:
Of deze verwerking “in het objectieve/veronderstelde belang” van de betrokkene is, hangt af van de concrete situatie. In algemene zin is de verwerking niet primair bedoeld om een individueel voordeel voor een specifieke betrokkene te realiseren, maar zij kan wel bijdragen aan een beter functionerend handelsverkeer waarin betrokkenen in professionele context opereren.
Voor zover binnen de ondernemingsgerichte dataset gegevens voorkomen die in context als persoonsgegevens kunnen kwalificeren, kunnen betrokkenen in zekere mate controleverlies ervaren, omdat de gegevens niet rechtstreeks bij hen worden verkregen en vervolgens binnen een zakelijke informatieketen worden verwerkt en beschikbaar gesteld aan professionele afnemers. Dit kan ertoe leiden dat betrokkenen niet op individueel niveau vooraf geïnformeerd zijn over iedere verwerking of verstrekking.
De inrichting van de verwerking bevat echter structurele waarborgen die dit mogelijke controleverlies beperken:
Betrokkenen kunnen daarnaast zelf waarborgen benutten door hun AVG-rechten uit te oefenen (inzage, rectificatie, bezwaar, verwijdering en beperking) via het beschikbare contactkanaal. In het bijzonder kan bezwaar tegen verwerking op basis van gerechtvaardigd belang worden gemaakt (artikel 21 AVG), waarna de verwerking in de relevante context opnieuw moet worden beoordeeld en overeenkomstig de AVG moet worden opgevolgd.
Voor zover ondernemingsgegevens afkomstig zijn uit registraties die verband houden met deelname aan het handelsverkeer, kunnen betrokkenen in de praktijk in zekere mate invloed uitoefenen op de juistheid en inhoud van die gegevens via de daarvoor bestemde registratiekanalen. Deze omstandigheid staat echter naast, en niet in de plaats van, de waarborgen die Ad Hoc Data zelf toepast, zoals gegevensminimalisatie, het uitsluiten van niet-rechtspersonen en het verwijderen van gegevens die natuurlijke personen rechtstreeks identificeerbaar of individueel benaderbaar maken.
De gegevens worden verwerkt door Ad Hoc Data als verwerkingsverantwoordelijke. Voor zover noodzakelijk voor de uitvoering van de verwerking maakt Ad Hoc Data daarnaast gebruik van zorgvuldig geselecteerde dienstverleners (bijvoorbeeld voor hosting/IT, beveiliging en ondersteunende bedrijfsprocessen) die toegang kunnen hebben tot (delen van) de gegevens binnen hun taakuitoefening. Klanten krijgen via het platform toegang tot (delen van) de ondernemingsgerichte dataset op basis van een overeenkomst. Voor de verdere verwerking van gegevens die zij uit de dataset gebruiken, handelen klanten als zelfstandige verwerkingsverantwoordelijken binnen hun eigen doeleinden en verantwoordelijkheden.
Toegang binnen Ad Hoc Data en bij ingeschakelde dienstverleners is beperkt tot medewerkers/personen die deze toegang nodig hebben voor hun werkzaamheden (need-to-know/rolgebaseerd). Toegang voor klanten is beperkt tot geautoriseerde gebruikersaccounts binnen de organisatie van de klant en tot gegevens binnen de ondernemingsgerichte dataset. Het aantal personen met toegang is daardoor afhankelijk van de rolverdeling binnen Ad Hoc Data, de ingezette dienstverleners en het aantal geautoriseerde accounts bij klanten, maar is functioneel begrensd tot wat noodzakelijk is.
De verwerking is ingericht met technische en organisatorische maatregelen om vertrouwelijkheid en integriteit te waarborgen, waaronder:
Deze combinatie van toegangsbeperking, contractuele borging, gegevensminimalisatie en ketenmaatregelen is gericht op het beperken van het aantal personen dat feitelijk toegang heeft en op het beschermen van de gegevens tegen ongeautoriseerde verwerking.
Nee. In het kader van deze verwerking vindt geen geautomatiseerde besluitvorming plaats die uitsluitend is gebaseerd op geautomatiseerde verwerking (waaronder profilering) en die rechtsgevolgen heeft voor betrokkenen of hen anderszins in aanmerkelijke mate treft in de zin van artikel 22 AVG.
Ja. Ad Hoc Data licht het gebruik van gerechtvaardigd belang als grondslag toe in de informatievoorziening aan betrokkenen en kan de belangenafweging desgevraagd nader toelichten.
In de algemene informatievoorziening wordt vermeld dat de verwerking (voor zover in context persoonsgegevens aan de orde zijn) plaatsvindt op basis van artikel 6 lid 1 onder f AVG, welke belangen daarbij worden nagestreefd en welke waarborgen zijn getroffen. Dit maakt voor betrokkenen inzichtelijk waarom Ad Hoc Data deze grondslag toepast en hoe de afweging is ingericht. Deze informatie is publiek beschikbaar via het privacy statement en de bijbehorende toelichting op het gerechtvaardigd belang (deze LIA) op de website van Ad Hoc Data.
Bij een inzageverzoek op grond van artikel 15 AVG kan Ad Hoc Data, binnen de kaders van de AVG, toelichten dat de verwerking is gebaseerd op gerechtvaardigd belang en de kern van de belangenafweging verschaffen, zodat de betrokkene de verwerking kan begrijpen en zijn rechten effectief kan uitoefenen.
Betrokkenen kunnen hun rechten uitoefenen via [email protected]. In het kader van verwerking op basis van gerechtvaardigd belang zijn met name de volgende interventierechten relevant:
Wanneer een bezwaar of verzoek tot wissing wordt gehonoreerd, worden de betreffende gegevens verwijderd of afgeschermd binnen de dataset. Daarnaast wordt dit doorgevoerd richting klanten via het systeem van ontdubbellijsten of vergelijkbare mechanismen, zodat verdere verwerking van deze gegevens door afnemers wordt tegengegaan.
Ja. Er is een vastgesteld proces om bezwaren en wissingverzoeken te ontvangen, te beoordelen en uit te voeren.
Dit proces is erop ingericht om verzoeken tijdig, zorgvuldig en controleerbaar af te handelen en om, waar relevant, de uitkomst ook richting afnemers te laten doorwerken.
Ja. Er is een vastgesteld proces om rectificatieverzoeken te ontvangen, te beoordelen en op te volgen.
Ja. Na afweging van alle relevante factoren wegen de gerechtvaardigde belangen van Ad Hoc Data en haar zakelijke afnemers zwaarder dan de belangen of grondrechten en fundamentele vrijheden van betrokkenen, voor zover binnen de ondernemingsgerichte dataset gegevens in context als persoonsgegevens kunnen kwalificeren.
Deze conclusie steunt op de volgende samenhangende elementen:
Gelet op deze factoren, en mede omdat de verwerking binnen een beperkt en geminimaliseerd kader plaatsvindt met effectieve rechten- en waarborgmechanismen, is de resterende inbreuk op de belangen van betrokkenen beperkt en proportioneel. Daarmee is de verwerking op basis van artikel 6 lid 1 onder f AVG in dit kader gerechtvaardigd.
De beantwoording van de vragen in deze drie-stappen-toets (1. gerechtvaardigd belang, 2. noodzakelijkheid en 3. belangenafweging) is vastgelegd in dit LIA-document. Dit document bevat:
Deze documentatie wordt intern bewaard als onderdeel van de AVG-verantwoordingsplicht (art. 5 lid 2 AVG) en kan worden gebruikt als onderbouwing bij interne besluitvorming, bij audits/compliance reviews en bij eventuele vragen van toezichthouders. Tevens wordt deze, in het belang van transparantie, gepubliceerd op de website van Ad Hoc Data.
Ja. Deze LIA is voorgelegd aan de functionaris gegevensbescherming (FG) van Ad Hoc Data voor beoordeling binnen de interne privacy/compliance-governance.
Ja. Ad Hoc Data hanteert een proces om deze LIA periodiek te herzien en te actualiseren, zodat de beoordeling blijft aansluiten bij de feitelijke verwerking en de risico's. Daarbij geldt in ieder geval dat herziening plaatsvindt:
De uitkomst van een herziening wordt gedocumenteerd (met datum/versie) en waar relevant opnieuw voorgelegd binnen de interne governance (waaronder de FG).