AVG Grondslag Kiezen: De 6 Grondslagen Helder Uitgelegd

Elke keer dat jouw organisatie een e-mailadres opslaat, een sollicitatie verwerkt of camerabeelden vastlegt, verwerk je persoonsgegevens. En elke verwerking heeft een wettelijke basis nodig — een zogeheten grondslag. Zonder geldige grondslag is die verwerking simpelweg verboden onder de AVG.

Toch zien wij bij MaasISO dat meer dan de helft van de MKB-bedrijven die we begeleiden bij de start geen sluitende grondslagkeuze heeft vastgelegd. Het gevolg: een verwerkingsregister vol gaten en een organisatie die bij controle door de Autoriteit Persoonsgegevens in de problemen komt.

In dit artikel leggen we alle zes grondslagen van Artikel 6 AVG helder uit, met concrete voorbeelden, een stappenplan om de juiste te kiezen, en de fouten die je absoluut wilt vermijden.

Wat is een grondslag in de AVG? (Artikel 6 uitgelegd)

Een AVG grondslag is de wettelijke rechtvaardiging die jouw organisatie nodig heeft om persoonsgegevens te mogen verwerken. Zonder grondslag = geen verwerking. Zo simpel is het.

Artikel 6 van de AVG definieert precies zes grondslagen. Je moet er vóór de start van elke verwerking één kiezen en deze vastleggen in je verwerkingsregister. Achteraf wisselen mag niet — de Autoriteit Persoonsgegevens is daar glashelder over.

Dit is geen formaliteit. De gekozen grondslag bepaalt welke rechten betrokkenen hebben (zoals het recht op vergetelheid), welke informatieplichten je hebt, en hoe je je verwerking moet documenteren.

De 6 AVG grondslagen: overzicht en uitleg

De AVG kent precies zes rechtmatige grondslagen voor het verwerken van persoonsgegevens. Hieronder een beknopt overzicht, daarna bespreken we elke grondslag in detail.

#	Grondslag	Typisch gebruik	Meest geschikt voor
1	Toestemming	Nieuwsbrieven, marketingcookies	Marketing, optionele diensten
2	Uitvoering overeenkomst	Levering, salarisadministratie	Klant- en HR-processen
3	Wettelijke verplichting	Belastingaangifte, UBO-registratie	Financiële en wettelijke verplichtingen
4	Vitale belangen	Medische noodsituaties	Zelden relevant voor MKB
5	Algemeen belang	Overheidstaken	Overheidsinstanties
6	Gerechtvaardigd belang	Beveiliging, direct marketing	Bedrijfsbelangen met afweging

Grondslag 1: Toestemming — wanneer wel en niet gebruiken

Toestemming betekent dat de betrokkene actief en bewust akkoord geeft voor een specifiek verwerkingsdoel. Het klinkt simpel, maar in de praktijk is deze grondslag lastiger dan je denkt.

De AVG stelt vier strenge eisen aan geldige toestemming:

• Vrij — geen druk, geen nadeel bij weigering
• Specifiek — per verwerkingsdoel apart
• Geïnformeerd — de persoon weet exact waarvoor
• Ondubbelzinnig — actieve handeling, geen vooraf aangevinkte vakjes

Praktijkvoorbeeld: Een klant meldt zich aan voor je nieuwsbrief via een opt-in formulier op je website. Of een bezoeker accepteert analytische cookies via een duidelijke cookiebanner.

Wanneer niet gebruiken: Bij werkgever-werknemerrelaties is toestemming bijna nooit geldig. Een werknemer kan geen écht vrije toestemming geven vanwege de machtsverhouding. Wij zien dit bij minstens 4 op de 10 bedrijven fout gaan. Gebruik in die situatie een andere grondslag, zoals de uitvoering van de arbeidsovereenkomst.

Belangrijk: het intrekken van toestemming moet net zo makkelijk zijn als het geven ervan. Eén klik om aan te melden? Dan ook één klik om uit te schrijven. Meer over toestemming bij beeldmateriaal lees je in ons artikel over AVG en beeldmateriaal toestemming.

Grondslag 2: Uitvoering van een overeenkomst

Deze grondslag gebruik je wanneer de verwerking noodzakelijk is om een contract uit te voeren waarbij de betrokkene partij is, of voor precontractuele maatregelen op verzoek van de betrokkene.

Het sleutelwoord is noodzakelijk. Alleen de gegevens die je écht nodig hebt om je deel van de overeenkomst na te komen, vallen hieronder.

Praktijkvoorbeelden:

• Een webshop verwerkt het afleveradres en de betaalgegevens van een klant om de bestelling te leveren
• Een werkgever verwerkt BSN, adres en bankrekeningnummer voor de salarisadministratie op basis van de arbeidsovereenkomst
• Een accountant verwerkt financiële gegevens om de boekhouding te voeren conform de opdrachtovereenkomst

Veelgemaakte fout: Extra gegevens verzamelen voor marketingdoeleinden en dit onder de paraplu van "overeenkomst" scharen. Dat mag niet. Voor marketing heb je een aparte grondslag nodig, zoals toestemming of gerechtvaardigd belang.

Grondslag 3: Wettelijke verplichting

Je verwerkt persoonsgegevens omdat een andere wet dan de AVG je daartoe verplicht. Deze grondslag spreekt voor zich, maar er is een belangrijke nuance: de wettelijke verplichting moet concreet en specifiek zijn.

Praktijkvoorbeelden:

• De Wet op de loonbelasting verplicht werkgevers om loongegevens te bewaren en aan de Belastingdienst door te geven
• De Wet ter voorkoming van witwassen (Wwft) verplicht bepaalde organisaties om een cliëntenonderzoek uit te voeren
• Wettelijke bewaartermijnen voor de fiscale administratie (7 jaar)

Let op: Een algemene "zorgplicht" of sectorrichtlijn is geen wettelijke verplichting in de zin van Artikel 6. Er moet een concrete wettekst zijn die je tot de verwerking verplicht.

Grondslag 4: Vitale belangen

Deze grondslag is bedoeld voor levensbedreigende situaties waarin persoonsgegevens verwerkt moeten worden om iemands leven of gezondheid te beschermen.

Denk aan ambulancepersoneel dat medische informatie opvraagt van een bewusteloze patiënt, of een school die allergiegegevens deelt met de hulpdiensten bij een anafylactische reactie.

Voor de dagelijkse bedrijfsvoering van een MKB-organisatie is deze grondslag vrijwel nooit relevant. In onze jarenlange praktijk hebben we deze grondslag nog nooit hoeven toepassen bij klanten. Als je als bedrijf denkt dat je deze grondslag nodig hebt, is er waarschijnlijk een betere optie.

Grondslag 5: Algemeen belang of openbaar gezag

Deze grondslag is primair bedoeld voor overheidsinstanties en organisaties die een publieke taak uitvoeren op basis van wet- of regelgeving.

Wie gebruikt deze grondslag?

• Gemeenten bij het verwerken van gegevens voor paspoorten, vergunningen en lokale belastingen
• Het CBS voor het samenstellen van nationale statistieken
• Onderwijsinstellingen bij wettelijk verplichte leerlingenadministratie
• Zorgverleners bij wettelijke meldplichten

Belangrijk voor overheidsorganisaties: Als je een publieke taak uitvoert, mag je hiervoor niet de grondslag gerechtvaardigd belang gebruiken. Dit is expliciet uitgesloten in Artikel 6 lid 1 AVG. Overheidsinstanties die werken aan informatiebeveiliging volgens de BIO moeten hier extra alert op zijn.

Voor commerciële MKB-bedrijven is deze grondslag doorgaans niet van toepassing.

Grondslag 6: Gerechtvaardigd belang — de belangenafweging

Gerechtvaardigd belang is de meest flexibele maar ook de meest complexe grondslag. Je mag persoonsgegevens verwerken als dit noodzakelijk is voor jouw gerechtvaardigde belangen, tenzij de belangen of grondrechten van de betrokkene zwaarder wegen.

Deze grondslag vereist een drieledige toets:

1. Doeltoets — Is jouw belang gerechtvaardigd? (commercieel belang, beveiliging, fraudepreventie)
2. Noodzakelijkheidstoets — Is de verwerking echt nodig om dat belang te bereiken? Kun je het doel niet op een minder ingrijpende manier realiseren?
3. Belangenafweging — Wegen jouw belangen op tegen de privacybelangen van de betrokkene? Belangen van kinderen wegen hierbij altijd zwaarder.

Praktijkvoorbeelden:

• Direct marketing naar bestaande klanten (met opt-out mogelijkheid)
• Cameratoezicht op het bedrijfsterrein voor beveiliging
• Netwerkbeveiliging en IT-monitoring ter bescherming van systemen
• Fraudepreventie bij financiële transacties

De verplichte documentatie: Voer een Legitimate Interest Assessment (LIA) uit en leg deze vast. Dit is geen optionele stap. Bij een controle door de Autoriteit Persoonsgegevens moet je deze afweging kunnen laten zien. In onze ervaring ontbreekt deze documentatie bij 7 van de 10 organisaties die gerechtvaardigd belang als grondslag hanteren.

Betrokkenen hebben bij deze grondslag altijd het recht van bezwaar. Als iemand bezwaar maakt, moet je stoppen met de verwerking — tenzij je kunt aantonen dat jouw belangen dwingend zwaarder wegen.

Stappenplan: hoe kies je de juiste AVG grondslag?

Volg deze vier stappen voor elke verwerking van persoonsgegevens:

1. Bepaal het doel concreet — Waarom verwerk je deze specifieke gegevens? "Klantgegevens bijhouden" is te vaag. "Bestelling leveren aan klant" is concreet genoeg.

2. Loop de grondslagen systematisch langs — Begin bij de meest voor de hand liggende: is er een overeenkomst? Een wettelijke verplichting? Pas daarna toestemming of gerechtvaardigd belang.

3. Toets de noodzakelijkheid — Kun je hetzelfde doel bereiken met minder gegevens of op een minder ingrijpende manier? Verzamel niet meer dan strikt nodig (dataminimalisatie).

4. Documenteer je keuze — Leg voor élke verwerking vast welke grondslag je hebt gekozen en waarom. Dit hoort in je verwerkingsregister en is verplicht onder de verantwoordingsplicht van Artikel 5 lid 2 AVG.

Wat anderen niet vertellen: de grondslagkeuze is definitief

Dit is waar veel organisaties — en eerlijk gezegd ook sommige consultants — de mist in gaan. Je kunt niet achteraf van grondslag wisselen.

Stel: je verzamelt e-mailadressen op basis van toestemming voor je nieuwsbrief. Een klant trekt zijn toestemming in. Je mag dan niet opeens overstappen op "gerechtvaardigd belang" om die persoon toch te blijven mailen. De Autoriteit Persoonsgegevens heeft dit in meerdere richtlijnen bevestigd.

Dit betekent dat je de grondslagkeuze aan de voorkant goed moet maken. In de praktijk adviseren wij organisaties om per verwerking een korte analyse te doen vóórdat ze beginnen met verwerken. Dat kost een half uur per verwerking, maar bespaart je hoofdpijn achteraf.

Een ander punt dat zelden wordt benoemd: je kunt voor dezelfde gegevens meerdere grondslagen hebben, maar dan voor verschillende doelen. Het adres van een klant verwerk je op grond van de overeenkomst (voor levering) én op grond van een wettelijke verplichting (voor je factuuradministratie). Dit moet je wel per doel apart documenteren.

Keuzehulp: welke grondslag past bij jouw verwerking?

Gebruik dit overzicht als snelle referentie:

Situatie	Aanbevolen grondslag
Nieuwsbrief versturen	Toestemming
Bestelling leveren	Uitvoering overeenkomst
Salarisadministratie	Uitvoering overeenkomst + wettelijke verplichting
Belastingaangifte indienen	Wettelijke verplichting
Camerabewaking kantoor	Gerechtvaardigd belang (met LIA)
Direct marketing bestaande klanten	Gerechtvaardigd belang (met opt-out)
Cookies plaatsen voor analytics	Toestemming (tenzij strikt noodzakelijk)
Foto's medewerkers op website	Toestemming (zie AVG beeldmateriaal)
Sollicitatiegegevens verwerken	Uitvoering overeenkomst (precontractueel)
Fraude-detectie	Gerechtvaardigd belang

Veelgemaakte fouten bij het kiezen van een grondslag

In onze dagelijkse praktijk bij MaasISO zien wij steeds dezelfde vijf fouten:

1. Te snel grijpen naar toestemming Organisaties vragen toestemming terwijl een andere grondslag logischer én juridisch sterker is. Toestemming kan worden ingetrokken — en dan sta je met lege handen. Gebruik toestemming alleen wanneer geen andere grondslag beschikbaar is.

2. Gerechtvaardigd belang als restcategorie Deze grondslag wordt gebruikt als "vangnet" zonder dat de verplichte drieledige toets (LIA) is uitgevoerd en gedocumenteerd. Bij controle is dit een directe overtreding.

3. Niet documenteren in het verwerkingsregister De grondslagkeuze wordt wel gemaakt, maar nergens vastgelegd. Dit is een schending van de verantwoordingsplicht — ongeacht of de verwerking zelf rechtmatig is.

4. Noodzakelijkheid te ruim interpreteren Meer gegevens verzamelen dan strikt nodig voor het doel. Een webshop die een geboortedatum vraagt voor het leveren van een bestelling, schendt het principe van dataminimalisatie.

5. Achteraf van grondslag wisselen Zoals hierboven beschreven: dit mag niet. De grondslag moet vóór aanvang van de verwerking worden bepaald.

Bijzondere persoonsgegevens en Artikel 9 AVG

Verwerk je gegevens over gezondheid, ras of etnische afkomst, politieke opvattingen, religie, seksuele gerichtheid, genetische of biometrische gegevens, of vakbondslidmaatschap? Dan gelden er nóg strengere regels bovenop Artikel 6.

Artikel 9 AVG verbiedt de verwerking van bijzondere persoonsgegevens, tenzij er naast een grondslag uit Artikel 6 óók een specifieke uitzondering uit Artikel 9 van toepassing is. Voorbeelden van zulke uitzonderingen:

• Uitdrukkelijke toestemming van de betrokkene
• Noodzakelijk voor de uitvoering van arbeidsrechtelijke verplichtingen
• Noodzakelijk voor vitale belangen wanneer betrokkene niet in staat is toestemming te geven
• Verwerking door een stichting of vereniging met ideële doelstelling

In de praktijk betekent dit: als je als werkgever ziekteverzuimgegevens verwerkt, heb je zowel een Artikel 6-grondslag (uitvoering overeenkomst of wettelijke verplichting) als een Artikel 9-uitzondering (arbeidsrechtelijke verplichting) nodig.

AVG grondslagen en de Autoriteit Persoonsgegevens in 2026

De Autoriteit Persoonsgegevens (AP) heeft in 2025 en 2026 haar handhavingsstrategie aangescherpt. De focus ligt steeds meer op de basisprincipes — en de grondslagkeuze staat daarbij centraal.

Recente ontwikkelingen:

• De AP controleert actief of organisaties een geldige grondslag hebben vastgelegd per verwerking
• Boetes voor ontbrekende of onjuiste grondslagkeuze zijn in Europa de afgelopen jaren fors gestegen, tot miljoenen euro's voor grote organisaties
• De AP benadrukt dat "toestemming" niet geldig is bij een machtsongelijkheid — dit raakt werkgevers direct
• Er is verscherpte aandacht voor de koppeling tussen grondslagen en het informatiebeveiligingsbeleid van organisaties

Voor MKB-bedrijven is het advies helder: zorg dat je verwerkingsregister op orde is, met per verwerking een duidelijke en correct onderbouwde grondslag. Dit is geen nice-to-have, maar een wettelijke eis die actief wordt gecontroleerd.

Direct toepasbaar: checklist grondslagkeuze AVG

Gebruik deze checklist bij elke nieuwe verwerking van persoonsgegevens:

1. Doel vastgesteld — Je hebt een concreet, specifiek en gedocumenteerd verwerkingsdoel
2. Grondslag gekozen — Je hebt systematisch de zes grondslagen langgelopen en de juiste geselecteerd
3. Noodzakelijkheid getoetst — Je verzamelt niet meer gegevens dan strikt nodig voor het doel
4. Belangenafweging uitgevoerd — Bij gerechtvaardigd belang heb je een LIA gedocumenteerd
5. Verwerkingsregister bijgewerkt — De verwerking, grondslag en onderbouwing zijn vastgelegd
6. Artikel 9 gecheckt — Bij bijzondere persoonsgegevens heb je een aanvullende uitzondering geïdentificeerd
7. Rechten van betrokkenen geborgd — Je weet welke rechten betrokkenen hebben op basis van jouw gekozen grondslag

Conclusie

De keuze voor de juiste AVG grondslag is geen bijzaak — het is de fundering van je hele privacybeleid. Zonder geldige grondslag is elke verwerking van persoonsgegevens in strijd met de wet, ongeacht hoe goed je beveiligingsmaatregelen zijn.

Begin bij het begin: inventariseer al je verwerkingen, kies per verwerking bewust een grondslag, documenteer je keuze in het verwerkingsregister en toets periodiek of je keuzes nog kloppen. Met een gedegen aanpak van AVG-compliance voorkom je niet alleen boetes, maar bouw je vertrouwen op bij klanten en medewerkers.

Wil je zeker weten dat jouw grondslagkeuzes juridisch standhouden? Of heb je hulp nodig bij het opzetten van je verwerkingsregister? Neem contact op met MaasISO voor een vrijblijvend gesprek. Wij helpen je van verwerkingsregister tot volledige AVG-compliance.