09 augustus, 2019
Auteur: Karen Siemers
In de blogserie ‘De AVG in Beeld’ zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen behandelen we het onderwerp Toestemming. Deze keer: wat is toestemming en hoe vraagt u uw klant op de juiste manier om toestemming?
Toestemming is een vaak besproken onderwerp in de privacywereld. De AVG heeft met een paar extra nuances de voorwaarden voor toestemming goed op de kaart gezet.
Toch blijven de basisprincipes vergelijkbaar met die uit de Wbp. In praktijk komt het voor dat aan deze principes nog niet is voldaan. In de loop van de voorbereidingen op de AVG is het dus een goed moment voor een integrale check: vraagt uw organisatie op de juiste manier om toestemming?
Wat is toestemming?
De definitie van toestemming uit de AVG komt gedeeltelijk overeen met de definitie uit de Wbp. Artikel 1 sub i Wbp omschrijft toestemming als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat persoonsgegevens over hem worden verwerkt. Die definitie is in de AVG bijgeschaafd tot:
“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een duidelijke actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” (artikel 4 lid 11 AVG)
In het onderstaande lichten we alle elementen van deze definitie toe en geven we voorbeelden van hoe het wel én niet moet.
Duidelijk actieve handeling
Nieuw is de voorwaarde dat uw klant een duidelijke actieve handeling moet verrichten om zijn toestemming kenbaar te maken. Een stilzwijgend akkoord was al geen optie en is onder de AVG nog eens uitdrukkelijk uitgesloten. In de overwegingen benadrukt de AVG deze situatie in onlineomgevingen; het reeds aangevinkte vakje biedt geen mogelijkheid om rechtsgeldige toestemming te verkrijgen. Dit betekent niet dat we bij iedere toestemmingsvraag een open vakje moeten terugzien. Ook met het aanzetten’ van een schuifje of het mondeling beantwoorden van een keuze vraag kan een klant rechtsgeldig aangeven dat hij akkoord is met een gegevensverwerking.
Ondubbelzinnig versus uitdrukkelijk
Toestemming moet ondubbelzinnig zijn. Dit betekent dat er voor de verantwoordelijke geen twijfel mag bestaan of de betrokkene wel echt bedoelt dat hij akkoord gaat met de gegevensverwerking. Mondeling akkoord geven op een onduidelijke vraag of met een druk op de knop toestemming geven terwijl de klant dacht dat hij alleen maar de app downloadde zijn beide niet ondubbelzinnig genoeg. De verantwoordelijkheid daarvoor ligt bij u. Dat betekent dat u zo specifiek mogelijk dient te vertellen waar een klant mee akkoord gaat. Zorgt daarbij dat een doorsneegebruiker het allemaal begrijpt.
In specifieke gevallen kun u met toestemming een verbod op verwerking opheffen. Bijvoorbeeld bij (profilering met) bijzondere persoonsgegevens, internationaal gegevensverkeer wordt de term ‘uitdrukkelijke toestemming’ gebruikt. In die situaties zijn de privacyrisico’s hoger en is de drempel voor rechtsgeldige toestemming hoger. Onder specifieke omstandigheden zou impliciete toestemming nog door het oog van de naald kunnen kruipen, zolang er een actieve handeling plaatsvindt waaruit u mag afleiden dat uw klant de gegevensverwerking accepteert (bijv. het invullen van een registratieformulier als vaste klant). Bij uitdrukkelijke toestemming is die situatie ondenkbaar. De handeling moet in dat geval uitdrukkelijk gericht zijn op het geven van toestemming (bijv. het aanvingen van een vakje voor de vraag “Ja, ik wil graag de nieuwsbrief ontvangen.”)
Vrije wilsuiting
‘Vrij’ betekent dat uw klant een echte keuze heeft en geen nadelige gevolgen mag ondervinden als hij toestemming weigert of intrekt. In praktijk voorziet de wet hiermee in bescherming tegen wanverhoudingen of afhankelijkheidsrelaties. Werkgevers moeten zich hier bewust van zijn ten opzichte van hun werknemers vanwege de gezagsverhouding, maar ook bij overheidsinstanties noemt de AVG het onwaarschijnlijk dat een burger volledig ongedwongen zijn toestemming kan verlenen.
Een ander voorbeeld van niet vrij gegeven toestemming is als u aangeeft dat toestemming vereist is om een overeenkomst aan te gaan, terwijl de verwerking waarmee uw klant akkoord gaat niet noodzakelijk is voor het uitvoeren van die overeenkomst (artikel 7 lid 4 AVG). Daar moet een aparte keuze voor zijn, dus: ‘ja’ wél de overeenkomst voor een navigatiedienst maar ‘nee’ niét mijn locatiegegevens gebruiken zodat ik (locatiegebaseerde) up-to-date file-informatie kan zien.
Specifiek en geïnformeerd
‘Specifiek’ betekent dat de toestemming moet gaan over een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Een algemeen geformuleerde machtiging is dus onvoldoende. “Wij verwerken uw gegevens met de grootst mogelijke zorgvuldigheid” zegt natuurlijk niets over welke gegevens verwerkt worden en geeft ook niets prijs over de reden. Uw klant moet juist met name toestemming geven voor welke gegevens worden verwerkt en waarom.
Deze informatie over het doel van de verwerking kan niet in de algemene voorwaarden worden opgenomen, maar moet u verstrekken via een aparte toestemmingsclausule. De toestemmingsvraag verstoppen in Algemene Voorwaarden is dus geen optie (artikel 7 lid 2 AVG). Let op de toegankelijkheid van de informatie die uw klant nodig heeft om de toestemmingsvraag geïnformeerd te kunnen beantwoorden. Presenteer deze in een begrijpelijke en toegankelijke vorm en in duidelijke en eenvoudige taal. De wetgeving probeert met dit vereiste de bekende perikelen rondom het accepteren van de Algemene Voorwaarden te voorkomen.
Aantonen en intrekken
In de AVG staan nog twee voorwaarden voor toestemming die uw aandacht nodig hebben. Ten eerste bent u degene die moet kunnen aantonen dat uw klant toestemming heeft gegeven (artikel 7 lid 1 AVG). Als u uw klant mondeling om toestemming vraagt moet u dus zorgen voor een goed proces: werkafspraken met baliepersoneel die de vraag stellen zoals het hoort en het antwoord goed vastleggen.
Ten tweede heeft uw klant het recht om te allen tijde zijn gegeven toestemming weer in te trekken – en dat moet u hem vooraf ook vertellen (artikel 7 lid 3 AVG). Het intrekken van toestemming moet op net zo’n eenvoudige manier kunnen als hij eerder de toestemming kon geven. Dat leidt tot de consequentie dat wanneer een klant aangeeft zich bedacht te hebben, u daar direct gehoor aan moet geven. De gegevens die u hebt verkregen op basis van toestemming moet u dan verwijderen. Dat betekent niet dat u automatisch gegevens dient te verwijderen als er toestemming wordt ingetrokken. Die toestemming geldt namelijk als het goed is voor een specifieke verwerking. Bijvoorbeeld het versturen van een nieuwsbrief. U dient dan het e-mailadres te verwijderen uit de mailinglist, maar indien u het e-mailadres hebt verkregen in het kader van een overeenkomst hoeft het e-mailadres niet meteen uit het klantenbestand te verwijderen.
Gelukkig is toestemming niet altijd en voor iedereen noodzakelijk om rechtmatig gegevens te verwerken. Want zoals blijkt is toestemming vragen een kunst. Wees alert op alle voorwaarden die de AVG aan een rechtsgeldige toestemming stelt. Vergeet niet om ook uw processen binnen uw organisatie hierop in te richten, want stel dat een handjevol klanten hun toestemming weer intrekt, dan moet u aan de slag!
Wil u eens met ons over dit onderwerp sparren? Neem dan gerust contact met ons op.