Goede en slechte voorbeelden bij vragen om toestemming
door Strict op wo 3 okt 2018
Voor sommige verwerkingen van persoonsgegevens is toestemming nodig van de betrokken personen. Ondanks alle goede bedoelingen gaat dat niet altijd zoals het moet. In de blog “Toestemming vragen volgens AVG, valt niet mee” heb ik uitgelegd wat daar zoal bij komt kijken. In deze blog licht ik een aantal praktijkvoorbeelden door aan de hand van de voorwaarden die aan toestemming worden gesteld.
Je kent ze wel, die e-mails van allerlei partijen die je vragen om toestemming te geven om jouw gegevens te gebruiken, bv. om nieuwsbrieven te sturen. De invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft deze storm veroorzaakt. Wie verantwoordelijk is voor de aangereikte persoonsgegevens moet in sommige gevallen expliciet om toestemming vragen om ze te mogen gebruiken.
Zowel degene die verantwoordelijk is voor de verkregen persoonsgegevens (de “verwerkingsverantwoordelijke”) als de persoon wiens gegevens worden verwerkt (de “betrokkene”) kan van alles vinden van die vragen om toestemming. Wat voor de een heel prettig is, kan de ander juist heel vervelend vinden, en omgekeerd. Tel daarbij op dat er nog onvoldoende jurisprudentie is die scherpe grenzen trekt, en het feest kan beginnen.
In deze blog laat ik zien dat je met gezond verstand en zorgvuldig lezen van de AVG een heel eind komt.
Hoe het moet
Aan het vragen van toestemming stelt de “European Data Protection Board” (EDPB) expliciete voorwaarden om geldig te zijn. In mijn vorige blog heb ik die uitgebreid toegelicht. Hier herhaal ik ze in het kort:
- De toestemming wordt in vrijheid gegeven
- De toestemming is specifiek
- De betrokkene wordt goed geïnformeerd
- De toestemming is ondubbelzinnig
Hoe het soms misgaat
Ondanks alle goede bedoelingen en verwijzingen naar de AVG, kun je je bij veel toestemmingsvragen afvragen of die wel voldoen aan de voorwaarden.
1. Vrijheid
Aan voorwaarde 1 wordt niet voldaan als bv. een werkgever aan een nieuwe medewerker toestemming vraagt om bepaalde persoonsgegevens te gebruiken. Op basis van de AVG lijkt het onmogelijk om in zo’n relatie om toestemming te vragen vanwege de machtsverhouding die hier speelt.
Voorbeeld:
“Mag je foto in het smoelenboek op het intranet geplaatst worden?
Door op akkoord te klikken geef ik toestemming.”
[ klik op ] Akkoord”
Als nieuwe medewerker voel je een zekere druk. Niet iedereen zal het aandurven om geen akkoord te geven. Mogen smoelenboeken dan voortaan niet meer? De oplossing ligt waarschijnlijk in de moeite die de werkgever steekt in uitgebreide informatie over (het uitblijven van) consequenties bij niet akkoord gaan. Dan ligt het voor de hand om ook een knop “Niet akkoord” aan te bieden. Zie ook verderop onder “Goed geïnformeerd”. Al met al blijft de werkgever-werknemer-relatie problematisch voor toestemming geven.
2. Specifiek
Aan deze wordt niet voldaan als het niet duidelijk is waarvoor je toestemming geeft, of als de formulering te algemeen is.
Voorbeeld:
Uit de praktijk: “[…] ontvangen we graag een mail retour met het volgende: Ik geef hierbij **** toestemming om mijn persoonsgegevens te verwerken en te delen ten einde dit voldoet aan de voorwaarden benoemd in het Privacy Beleid van ****.”
Deze zin is krom en incompleet. Om welke verwerking het gaat en met welk doel is niet gespecificeerd in de toestemmingstekst. Ik kom er niet achter hoe deze partij met mijn toestemming om zal gaan.
3. Goed geïnformeerd
Aan deze voorwaarde wordt niet voldaan als de verwerker verwijst naar documentatie die onvoldoende begrijpelijk is (bv. door juridisch of ander jargon, erg lange tekst, moeilijke zinsconstructies) of die niet voldoende duidelijk maakt wat de betreffende verwerking inhoudt.
Voorbeeld:
Uit de praktijk: “Wij verwerken uw gegevens met de grootst mogelijke zorgvuldigheid. […] Voor verdere informatie omtrent ons Privacy Beleid verwijzen wij u naar onze website. [Klik op] Akkoord”
Deze partij heeft geen enkele moeite gedaan om mij informatie te geven waarop ik mijn beslissing over toestemming kan baseren. Dat ik nergens kan vinden wat de implicaties zijn van mijn toestemming zit mij niet lekker.
Voorbeeld:
Een nieuwsbrief zonder optie om uit te schrijven (“unsubscribe”); een uitschrijfoptie waarbij te veel handelingen nodig zijn, of waarbij meteen allerlei andere opties ook verdwijnen. Ook een verwijzing naar “de website” om je uit te schrijven is onvoldoende.
Hoe toestemming kan worden ingetrokken moet goed beschreven en zo eenvoudig mogelijk zijn. Maar wat is goed en eenvoudig genoeg? Daar kun je over twisten.
4. Ondubbelzinnig
Aan deze voorwaarde wordt niet voldaan als degene die om toestemming vraagt een antwoord terugkrijgt dat op meerdere manieren kan worden geïnterpreteerd.
Voorbeeld:
Mondeling (bv. telefonisch) akkoord geven op een weinig specifieke vraag voldoet niet. Merk op dat vastlegging in zo’n geval ook problematisch is. Wil je een geluidsopname maken, dan moet je eerst daarvoor toestemming vragen.
Stel je een slechte vraag, dan krijg je een slecht antwoord. En kun je dus niet kan aantonen wie waarvoor toestemming heeft gegeven. Het voorbeeld onder de kop “Specifiek” heeft daar ook last van.
In het volgende voorbeeld probeert een fanclub te veel zaken tegelijk te regelen, waardoor die uit de bocht vliegt.
Voorbeeld:
Uit de praktijk: “Wil je per e-mail op de hoogte gehouden worden van het laatste wedstrijdnieuws en speciale aanbiedingen van ****? Geef dan hieronder jouw e-mailvoorkeuren aan.
Voornaam: ___ Tussenvoegsel: ___ Achternaam: ___ Geslacht: ___
E-mailadres: ___ Geboortedatum: ___
E-mailvoorkeuren:
O Kaartverkoopinformatie
O Algemene informatie
O Aanbiedingen **** Fanshop
O **** Nieuwsbrief
O Overige persoonlijke aanbiedingen
O Aanbiedingen partners van ****
[klik op] VERDER”
Ik moet mijn persoonsgegevens al prijsgegeven voordat ik weet hoe het bedrijf daar mee omgaat. De fanclub stuurt me een e-mail om mijn aanmelding te bevestigen, maar ook daarin ontbreekt ieder spoor naar een privacystatement of verwerkingen. In dit geval kunnen mijn gegevens ook nog eens kunnen worden gedeeld met derden als ik “Aanbiedingen partners” hebt aangevinkt. Wie dat zijn, welke gegevens met hun worden gedeeld, wat ze gaan doen en welke risico’s ik daar mogelijk mee loop wordt niet vermeld.
Nog een complicatie is dat wellicht kinderen (jonger dan 16 jaar) zich willen aanmelden. In dat geval is meer nodig. De persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, moet betrokken worden bij de toestemming. Niets wijst erop dat dit hier gebeurt.
Ook vraag ik me af waarom ik word verplicht om zo veel persoonsgegevens in te vullen. Ik krijg de indruk dat ik de controle volledig kwijt ben als ik “Verder” ga.
Goede voorbeelden
Gelukkig is het niet enkel kommer en kwel. Er zijn ook partijen die helder en zuiver communiceren.
Voorbeeld:
“**** plaatst Functionele cookies, om deze website naar behoren te laten functioneren en Analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens. Geef hieronder uw toestemming voor cookies die wel persoonsgegevens verwerken.
( V ) ( X ) Ik wil Sociale Media koppelingen:
hiermee staat het plaatsen van cookies door social medianetwerken toe, deze netwerken kunnen u volgen en uw internetgedrag gebruiken voor andere doeleinden
( V ) ( X ) Ik wil gepersonaliseerde advertenties:
hiermee ontvangt u gepersonaliseerde ****-advertenties die worden afgestemd op uw internetgedrag. Via deze cookies kan je internetgedrag gevolgd worden door advertentienetwerken.
[ klik op ] Opslaan”
Veel duidelijker en transparanter kan bijna niet.
Ook zijn er partijen die goede voorbeelden geven en adviseren wat je wel en niet moet doen. Zoek maar eens op “toestemming vragen AVG”. Let er wel op dat in sommige artikelen de wet en de interpretatie van de wet door elkaar lopen.
Waar staan we nu?
Het lijkt me duidelijk dat de kinderziekten er nog niet uit zijn. Het valt ook niet mee om de wet te doorgronden. Hopelijk komt er snel jurisprudentie en volgen concrete richtlijnen.
Een schrale troost misschien, maar ook de Autoriteit Persoonsgegevens zelf lijkt er niet helemaal uit te komen bij het aanmelden voor haar nieuwsbrief, waarvoor zij verwerkingsverantwoordelijke is.
Voorbeeld:
“Op de nieuwsbrief is het Privacystatement Nieuwsbrief van de Autoriteit Persoonsgegevens van toepassing.
[ ] Ja, ik heb kennis genomen van het privacybeleid van de Autoriteit Persoonsgegevens en geef uitdrukkelijk toestemming voor het verwerken van mijn e-mailadres om de nieuwsbrief te kunnen ontvangen.
E-mailadres: ____
[ klik op ] Aanmelden”
Om de nieuwsbrief te krijgen moet ik kennis nemen van het “privacybeleid”, terwijl het “Privacystatement Nieuwsbrief” van toepassing is. Dat is verwarrend. Dat privacybeleid blijkt vervolgens geen beleid te zijn maar een kapstok voor meerdere privacystatements. Ik geloof trouwens dat er geen noodzaak is voor die verplichte “vink”. Zelfs niet voor “actieve handeling”, want die zit al in het invoeren van het e-mailadres en drukken op de knop “Aanmelden”. Hoe ik mij kan afmelden wordt niet verteld. Dat blijkt wel te kunnen maar zit weer ergens heel anders. In de bevestiging van aanmelding staat het gelukkig wel. Goed bewaren dat bericht. Dat moet toch met weinig moeite veel beter kunnen, zeker als je een voorbeeldfunctie hebt zoals de Autoriteit Persoonsgegevens.
Komt het nog goed?
Door met z’n allen aandacht te besteden aan goede toestemmingsvragen en kritisch te zijn op wat er beter kan of moet, helpen we elkaar. De tijd zal leren welke vormen van toestemming vragen het beste voldoen.
In veel gevallen is toestemming vragen gelukkig niet nodig, namelijk als er al een bepaalde “grondslag” is voor die verwerking. Een overzicht van mogelijke grondslagen vind je op de website van de Autoriteit Persoonsgegevens (zoek naar “mag u persoonsgegevens verwerken”). Als je het vragen om toestemming kunt vermijden, zou ik dat zeker doen.
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)