Toestemming vragen volgens AVG, valt niet mee
door Strict op wo 3 okt 2018
Voor sommige verwerkingen van persoonsgegevens is toestemming nodig van de betrokken personen. Ondanks alle goede bedoelingen gaat dat niet altijd zoals het moet. In deze blog leg ik uit wat daar zoal bij komt kijken. In de blog “Goede en slechte voorbeelden bij vragen om toestemming” licht ik een aantal concrete toestemmingsvragen door.
Je kent ze wel, die e-mails van allerlei partijen die je vragen om toestemming te geven om jouw gegevens te gebruiken, bv. om nieuwsbrieven te sturen. De invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft deze storm veroorzaakt. Wie persoonsgegevens verwerkt moet in sommige gevallen expliciet om toestemming te vragen.
Zowel degene die verantwoordelijk is voor de verkregen persoonsgegevens (de “verwerkingsverantwoordelijk”) als de persoon wiens gegevens worden verwerkt (de “betrokkene”) kan van alles vinden van die vragen om toestemming. Wat voor de een heel prettig is, kan de ander juist heel vervelend vinden, en omgekeerd. Tel daarbij op dat er nog onvoldoende jurisprudentie is die scherpe grenzen trekt, en het feest kan beginnen.
In deze blog laat ik zien dat je met gezond verstand en zorgvuldig lezen van de AVG een heel eind komt.
Hoe het moet
Als het noodzakelijk is om voor een verwerking van persoonsgegevens toestemming te vragen, wat moet je dan doen?
De AVG definieert toestemming als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” (artikel 4 lid 11).
Over de interpretatie van al die termen zegt de AVG niet veel. Daarvoor moeten we zijn bij de “European Data Protection Board” (EDPB). Dit is een groep van privacy experts die namens Europa nadenkt over zulke dingen en daarover (bijna) bindende adviezen geeft.
De volgende voorwaarden zijn belangrijk bij het vragen van toestemming:
- De toestemming wordt in vrijheid gegeven: jij als persoon wiens gegevens worden verwerkt moet een keuze hebben. Het mag niet zo zijn dat de je je gedwongen voelt om een keuze te maken, omdat er anders nadelige gevolgen dreigen. Ook mag de toestemming niet gekoppeld zijn aan niet onderhandelbare voorwaarden. Toestemming weigeren of intrekken mag geen nadelige gevolgen hebben.
- De toestemming is specifiek: met welke verwerking(en) je instemt moet duidelijk zijn. Het doel (of de doelen) moet beschreven en afgebakend zijn. Per afzonderlijke verwerking moet je wel of geen toestemming kunnen geven volgens het “opt-in” beginsel.
- Je wordt goed geïnformeerd: het moet voor jou duidelijk zijn wie de verwerker is, wat het doel is van elke verwerking, welke gegevens voor welke verwerking worden gebruikt, hoe je toestemming voor een verwerking kunt intrekken, en of er geautomatiseerde beslissingen worden genomen op basis van jouw gegevens. Ook mogelijke risico’s van doorgifte van gegevens aan derden buiten de Europese Economische Ruimte moeten worden benoemd.
- De toestemming is ondubbelzinnig: toestemming moet worden gegeven door een actieve handeling of verklaring waaruit de toestemming duidelijk blijk. Op voorhand de checkbox “Ik ga akkoord” aanvinken mag niet. “Algemene Voorwaarden” laten accepteren voldoet niet als toestemming.
Daarmee is de theorie helder, maar de praktijk blijkt weerbarstig. En er is nog weinig jurisprudentie waarin grensgevallen worden beoordeeld. Ook heeft de Autoriteit Persoonsgegevens (de nationale toezichthouder op de AVG) nog geen richtlijnen gepubliceerd die duidelijk maken wat wel en niet voldoet.
Hoe erg is dat?
Als je als verwerkingsverantwoordelijke niet op de juiste manier om toestemming hebt gevraagd, dan heb je feitelijk geen toestemmingen. Dus ben je in overtreding als je die gegevens toch verwerkt. Als het erop aankomt, bv. bij een klacht of een beveiligingsincident, en de Autoriteit Persoonsgegevens of de rechter komt eraan te pas, dan kun je verwachten dat alle “toestemmingen” als niet gegeven worden verklaard. Heb je die persoonsgegevens ook nog gedeeld met derden, dan wordt het nog lastiger. Ik ben benieuwd hoe de autoriteiten hierover zullen oordelen. Krijg je een waarschuwing, of meteen een boete? En mag je opnieuw toestemming vragen, en mag je intussen doorgaan met verwerken? Dat moet nog blijken.
Goede en slechte voorbeelden
Er zijn partijen die helder en zuiver communiceren over toestemming voor verwerking. Hulde! Helaas zijn er ook partijen die de AVG bewust of onbewust compleet negeren, of de plank helemaal misslaan. Er zijn zelfs partijen die toegang tot hun website blokkeren voor mensen uit de EU, want dan hoeven ze niet aan de AVG te voldoen. Tja.
Ook zijn er partijen die goede voorbeelden geven en adviseren wat je wel en niet moet doen. Zoek maar eens op “toestemming vragen AVG. Let er wel op dat in sommige artikelen de wet en de interpretatie van de wet door elkaar kunnen lopen.
Komt het nog goed?
De tijd zal het leren. In de blog “Goede en slechte voorbeelden bij vragen om toestemming” zal ik een aantal praktijkvoorbeelden doorlichten aan de hand van de voorwaarden die aan toestemming worden gesteld. Dat levert in ieder geval stof tot nadenken.
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)