09 augustus, 2019
Auteur: Karen Siemers
In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het tweede deel van het onderwerp Toestemming en gaan we in op: wanneer moet u uw klant (niet) om toestemming vragen?
De conclusie was dat toestemming vragen best wat om het lijf heeft. In deze blog gaan we in op de vraag wanneer je nu wel en niet om toestemming moet vragen. Ons uitgangspunt is daarbij: vraag zo min mogelijk om toestemming. Niet omdat zware voorwaarden aan rechtsgeldige toestemming worden gesteld, maar omdat het privacyrechtelijk gezien niet redelijk is. In de loop van de voorbereidingen op de AVG is het wellicht een goed idee om eens nauwkeurig na te gaan: vraagt uw organisatie toestemming op momenten waar het eigenlijk niet de bedoeling is?
De grondslagen
Privacywetgeving verplicht de verantwoordelijke na het bepalen en uitdrukkelijk omschrijven van de doelen van de gegevensverwerking een rechtvaardigingsgrondslag te definiëren. Er zijn zes verschillende grondslagen (artikel 6 lid 1 AVG) die niet zo veel verschillen van de grondslagen die we al kenden uit de Wet bescherming persoonsgegevens. Ze houden op hoofdlijnen in dat de verwerking:
- a) akkoord is vanuit uw klant door toestemming voor een of meer specifieke doeleinden;
- b) noodzakelijk is voor de uitvoering van een overeenkomst waarbij uw klant partij is, of om maatregelen te nemen op verzoek van de klant vóór de sluiting van een overeenkomst;
- c) noodzakelijk is om te voldoen aan een wettelijke verplichting die op uw organisatie rust;
- d) noodzakelijk is om de vitale belangen van uw klant of van een andere natuurlijke persoon te beschermen;
- e) noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan uw organisatie is opgedragen;
- f) noodzakelijk is voor de gerechtvaardigde belangen van uw organisatie of van een derde, behalve wanneer de belangen of de rechten en vrijheden op het gebied van gegevensbescherming van uw klant, zwaarder wegen (met name bij een kind).
Om persoonsgegevens te mogen verwerken moet u altijd een van bovenstaande opties kunnen aanwijzen. Nieuw in de AVG is dat de overheid het gerechtvaardigd belang niet meer mag gebruiken bij uitoefening van haar publieke taken. Belangrijk om niet te vergeten is dat uw klant bezwaar mag maken bij de grondslag gerechtvaardigd belang maar ook wanneer de verwerking plaatsvindt op basis van een publieke taak (artikel 21 AVG). Na een dergelijk bezwaar volgt (opnieuw) een belangenafweging, maar dan op basis van de informatie van het individuele geval.
Toestemming als vluchtstrook
De veelbesproken toestemmingsgrondslag is dus slechts één van de mogelijkheden. In de praktijk betekent dit voor veel organisaties dat ze helemaal niet om toestemming hoeven te vragen! Wij schetsen om dat helder te maken de grondslagen als een vijfbaans snelweg (zie afbeelding hieronder).
De privacywetgeving heeft alvast voor u nagedacht wat mogelijke situaties kunnen zijn waarbij u persoonsgegevens zal moeten verwerken. Het resultaat daarvan zijn zes grondslagen op basis waarvan organisaties persoonsgegevens mogen verwerken. Vitaal belang (D) is een grondslag die niet vaak gebruikt kan worden. Daarbij gaat het echt om levensbedreigende situaties. Is een persoon buiten bewustzijn en is medische hulp geboden? Dan kunt u zonder toestemming direct de noodzakelijke persoonsgegevens verwerken om hulp te bieden.
U kunt ook met uw klanten een overeenkomst (B) sluiten voor bijvoorbeeld de koop van een product of dienst. Om te leveren dient u dan persoonsgegevens te verwerken. Let op dat u dan geen persoonsgegevens verwerkt die niet noodzakelijk zijn voor de uitvoering daarvan. Voor extra verwerkingen kan het zijn dat u toch toestemming moet vragen. Bijvoorbeeld wanneer u naast de verkoop analyses wilt uitvoeren op het koopgedrag zodat u persoonsgebonden aanbiedingen kan doen.
Dan houden we nog twee grondslagen over, die elkaars alternatieven vormen. Vaak wordt het gerechtvaardigd belang (F) genoemd als ‘restcategorie’. Bij het gerechtvaardigd belang wordt een afweging gemaakt door de organisatie die persoonsgegevens verwerkt (weegt het belang, de grondrechten en fundamentele vrijheden van mijn klanten zwaarder dan de gerechtvaardigde belangen van mijn organisatie?). Die afweging wordt niet zo beschreven bij de grondslag toestemming (A). Dan ligt de afweging in principe bij de klant zelf, die hij/zij maakt op basis van de verplichte informatie. Het is maar de vraag of dat, ondanks alle strenge voorwaarden, in de praktijk ook goed lukt.
Er zijn twee goede argumenten om niet te kiezen voor toestemming maar voor het gerechtvaardigd belang. Ten eerste voorkomt u met een goede belangenafweging (inclusief een zorgvuldige DPIA met behulp van deskundigen en stakeholders) dat u zo’n afweging op het bordje van de klant schuift. Die zou met het geven van toestemming ook de voor- en nadelen moeten inschatten, met vaak een complexe achterliggende technologie en bedrijfsvoering en daarin ook risico’s van eventuele toekomstig ander gebruik van de persoonsgegevens moeten meenemen. De kans dat uw klant dat in die split-second lukt is niet groot.
Daarnaast is er een tweede argument gelet op uw bedrijfsvoering. Verwerkingen die voor de bedrijfscontinuïteit essentieel zijn, zijn bij voorkeur niet op toestemming gebaseerd. Deze mag namelijk te allen tijde zonder opgaaf van redenen worden ingetrokken. Bovendien kunnen we de metafoor in bovenstaande afbeelding nog een stukje doortrekken. Bij het kiezen van een grondslag geldt: “keep to your lane”. Je mag niet van grondslag wisselen.
Er zijn echter ook organisaties die bewust wél kiezen voor toestemming. Soms heeft te maken met verwachtingsmanagement van uw klanten. Als je persoonsgegevens wil gebruiken op een manier die uw klant niet verwacht, kan dat ervoor zorgen uw belang niet opweegt tegen het belang van de klant in het kader van het gerechtvaardigd belang. Dat betekent dat toestemming vragen soms de enige optie is om verrassingen te voorkomen en gegevens rechtmatig te verwerken. Omgekeerd zorgt het ervoor dat wanneer de verwerking binnen deze ‘reasonable expectation of privacy’ valt, toestemming dus niet nodig is.
De keuze voor toestemming kan ook te maken hebben met de ‘risk appetite’ van organisaties. We zien steeds vaker dat de Autoriteit Persoonsgegevens toestemming vereist. Af en toe zelfs in gevallen waar je met een zorgvuldige belangenafweging en de juiste maatregelen nog wel had kunnen gaan voor het gerechtvaardigd belang. Om die reden kiezen organisaties af en toe toch voor de zekerheid. Op die manier zullen ze niet de discussie hoeven aan te gaan met de toezichthouder.
Als het echt niet anders kan: (uitdrukkelijke) toestemming
Als u bijzondere gegevens wilt verwerken dan kan het zijn dat u onder specifieke omstandigheden om uitdrukkelijke toestemming van uw klanten moet gaan vragen. Dan gaat het bijvoorbeeld om genetische gegevens, gegevens over gezondheid of gegevens waaruit ras, politieke opvattingen of religieuze overtuigingen uit op te maken zijn. Voor veel van de verwerkingen in deze categorieën geldt echter dat er uitzonderingen bestaan die geen toestemming vereisen. Wanneer deze niet van toepassing zijn is toestemming dus een laatste redmiddel.
Eenzelfde soort situatie ontstaat als uw organisatie persoonsgegevens buiten de grenzen van de EU en EER wilt verwerken. Er zijn een hoop andere uitzonderingsgronden. Zoals een passend (adequaat) beschermingsniveau, modelcontracten of Binding Corporate Rules. Met uitdrukkelijke toestemming is het in dergelijke situaties alsnog internationale doorgifte mogelijk. Mocht ook dat niet lukken, dan is er nog een uitzondering voor specifieke incidentele verwerkingen (artikel 49 lid 1 paragraaf 2 AVG).
Ten slotte heeft u de grootste kans op het vragen van uitdrukkelijke toestemming wanneer uw organisatie gebruik maakt van geautomatiseerde besluitvorming (waaronder profilering) op basis van bijzondere persoonsgegevens (artikel 22 lid 4 AVG). Alleen wanneer de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang op grond van Europees of Nederlands recht kunt u op deze manier bijzondere persoonsgegevens verwerken.
Het komt voor dat andere wetgeving dan de AVG u verplicht om toestemming te vragen, bijvoorbeeld de Telecommunicatiewet wanneer het gaat over het versturen van nieuwsbrieven. We zien vaker een spanningsveld ontstaan wanneer in de sectorale wetgeving het vragen om toestemming verplicht wordt gesteld. Dit zullen we in een toekomstige blog nader toelichten.
Toestemming is niet de hamvraag
Bij het overgrote deel van gegevensverwerkingen zal het niet noodzakelijk zijn om toestemming te vragen. De meeste organisaties kunnen zich baseren op een andere grondslag. Bij het verwerken van bijzondere persoonsgegevens zijn er ook uitzonderingen op het verbod waar geen toestemming voor nodig is, zo ook bij internationaal gegevensverkeer. Alleen bij het verwerken van bijzondere persoonsgegevens in de sfeer van geautomatiseerde besluitvorming (profiling) ligt het voor de hand om (uitdrukkelijke) toestemming te vragen aan de betrokkenen.
Bedenk goed dat wanneer blijkt dat toestemming noodzakelijk blijkt, de AVG specifieke voorwaarden stelt aan een rechtsgeldige toestemming. Vergeet daarbij niet om procedureel en op werkinstructie niveau toestemming een plek te geven, zodat áls u om toestemming moet of wil vragen, het geven en intrekken daarvan efficiënt en rechtmatig verloopt!
Wil u eens met ons over dit onderwerp sparren? Neem dan gerust contact met ons op.