Ook nadat de AVG van kracht geworden is, hebben veel organisaties in hun privacystatement staan dat ze klantgegevens delen ‘met geselecteerde derde partijen’, zonder nadere toelichting. Hierdoor is de toestemming van een klant niet op de juiste manier tot stand gekomen.
Onder de AVG moet een klant toestemming geven als een organisatie persoonsgegevens wil delen met andere partijen. Dat geldt uiteraard voor zoiets als e-mailadressen, maar ook voor het plaatsen van cookies. De formulering die vaak voor deze aanpak gekozen wordt, is ‘het delen van informatie met geselecteerde derde partijen’. Vervolgens staat er op een website dan wel ergens een box waar de klant een vinkje voor toestemming kan zetten. Bij offline diensten is meestal sprake van een opt-out; de klant moet zelf te kennen geven dat hij geen prijs stelt op het delen van zijn gegevens.
Maar ook al geeft de klant op basis van deze informatie toestemming, volgens de AVG is deze in feite niet geldig. De AVG stelt dat de klant geïnformeerd toestemming moet kunnen geven. Dit betekent dat een organisatie moet specificeren wie die geselecteerde derde partijen zijn. Dat is ontzettend lastig, vooral in de snelle online wereld, maar de wet schrijft het wel voor. Een klant die met veel moeite zijn gegevens heeft kunnen verwijderen bij provider X terwijl hij zich aanmeldt bij organisatie Y die gegevens deelt met… provider X? Die klant zal vast geen toestemming willen geven en wordt niet blij van organisatie Y als hij dit achteraf ontdekt. Hij zal daardoor sneller geneigd zijn hiervoor een klacht in te dienen bij de Autoriteit Persoonsgegevens, en de kans is groot dat hij in het gelijk wordt gesteld.