VERDIEPINGSARTIKEL

Werken met toestemming

Sinds de invoering van de Algemene verordening gegevensverwerking (AVG) is er meer dan ooit om toestemming gevraagd voor de verwerking van persoonsgegevens. Veel van deze toestemmingen zijn echter helaas ongeldig, overbodig, onbruikbaar, verwarrend, en/of onzinnig. Weet hoe u moet omgaan met de grondslag Toestemming van de AVG?


4 november 2019 8 minuten Door redactie

Dit verdiepingsartikel wordt u aangeboden door Rendement online.


Rechtsgronden van de AVG

Hier volgt eerst een kleine, maar belangrijke introductie van de rechtsgronden van de AVG. Verwerking van persoonsgegevens mag samengevat alleen maar op grond van één van de volgende gronden:

  1. toestemming;
  2. noodzakelijk voor de uitvoering van een overeenkomst of voor het sluiten van de overeenkomst;
  3. om aan een wettelijke verplichting te voldoen;
  4. in een zaak van leven en dood, vitale belangen van een persoon;
  5. noodzakelijk voor de vervulling van een taak in het algemeen belang of openbaar gezag;
  6. noodzakelijk voor gerechtvaardigde belangen, zolang de belangen van de betrokken personen niet zwaarder wegen.

U kunt niet gaan shoppen in deze zes rechtsgronden; er valt niets te kiezen. Ook kunt u niet meerdere rechtsgronden aanvoeren. Elke verwerking kent één, en precies één rechtsgrond. Is dat niet het geval, dan is de betreffende verwerking onrechtmatig en dus niet toegestaan. De bovenstaande lijst toont de rechtsgronden in de volgorde zoals de AVG die ook aanhoudt. De volgorde lijkt willekeurig, omdat Toestemming de laatste strohalm is. Als u de overige rechtsgronden goed bekijkt en allerlei situaties in uw eigen leven bedenkt waarin u persoonsgegevens deelt of laat verwerken, dan zult u merken dat vrijwel altijd één van de andere rechtsgronden toepasselijk zal zijn. In ons dagelijks leven als burger hebben we vooral te maken met:

  • uitvoering van een overeenkomst – bij het boodschappen doen, bij een arbeidsverhouding;
  • wettelijke verplichting – belastingrecht, wegenverkeerswet, arbeidsrecht;
  • gerechtvaardigde belangen – cameratoezicht in de supermarkt, versturen van zakelijke mails.

U kunt alleen uw toevlucht nemen tot ‘Toestemming’ als een verwerking:

  • niet wettelijk verplicht is;
  • niet noodzakelijk om een overeenkomst uit te voeren of af te sluiten;
  • geen zaak van leven of dood betreft;
  • niet noodzakelijk is voor publieke zaken;
  • en ook geen gerechtvaardigd belang behartigt.

Dit betekent tegelijkertijd dat:

  • u niet kunt uitleggen waarom deze verwerking belangrijker is dan de belangen van de betrokkene;
  • u niet verplicht bent om de gegevens te verwerken;
  • u ermee geen publieke taak vervult;
  • de betrokkene niet per direct geholpen moet worden.

Hierbij dient te worden opgemerkt dat de overheid zich niet mag beroepen op gerechtvaardigde belangen. Dit verbod beschermt de burger tegen de overheid.

Toestemming volgens de AVG

Toestemming volgens de AVG? Zijn er nog meer soorten toestemmingen mogelijk? Jazeker. Bijvoorbeeld de Wet op de geneeskundige behandeling en onderzoek (Wgbo) heeft het ook over toestemming, voor het opheffen van het beroepsgeheim. En ergens tussen 2019 en 2022 zal de ePrivacy Verordening worden ingevoerd, het Europese halfzusje van de AVG. Ook hier zal toestemming belangrijk worden, en die wordt net even anders gedefinieerd dan in de AVG. Althans zo is het in de voorlopige versie. In dit artikel hebben we het uitsluitend over toestemming zoals de AVG dat ziet.

Algemeen

In het algemeen kan toestemming alleen een passende rechtsgrond zijn, wanneer een betrokkene:

  • werkelijk controle en keuze heeft;
  • over het accepteren of verwerpen van de voorwaarden;
  • zonder dat daar een nadeel aan verbonden is.

Alle drie deze elementen moeten aanwezig zijn bij het geven van toestemming, anders is deze ongeldig. Toestemming kan daarbij alleen maar worden gevraagd, als zonder deze toestemming de verwerking niet rechtsgeldig zou zijn. In het vorige hoofdstuk werden al de overige rechtsgronden benoemd. Wanneer alle vijf de andere rechtsgronden niet van toepassing zijn, dan kan toestemming nog een mogelijke rechtsgrond bieden. Waarom is toestemming niet altijd geldig als rechtsgrond? Er moet nog steeds aan de beginselen van de AVG worden voldaan, met name betreffende behoorlijkheid, noodzaak en evenredigheid, en de kwaliteit van de gegevens. Zelfs mét toestemming is het verboden om gegevens te verwerken die niet noodzakelijk zijn om een bepaald doel te bereiken.

Met welke factoren moet rekening gehouden worden?

Artikel 4 lid 11 van de AVG bepaalt dat de toestemming van een betrokkene moet zijn gebaseerd op een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting (verklaring of actie van de betrokkene) om de verwerking te aanvaarden. Elk van deze vier onderdelen moet aanwezig zijn bij de toestemming; bij ontbreken van één of meer factoren is de toestemming ongeldig. In dat geval moet er ervan uit worden gegaan dat er géén toestemming is gegeven.

Vrije keuze en controle

Als iemand geen werkelijke keuze heeft, zich gedwongen voelt om toestemming te geven, of wanneer er negatieve gevolgen kleven aan het niet geven van toestemming, dan is er geen sprake van een vrije keuze. Toestemming kan geen onderdeel zijn van onderhandelingen of voorwaarden. Elke druk die wordt uitgeoefend om toestemming te krijgen, maakt de toestemming ongeldig. Ook bij een wanverhouding kan zelden sprake zijn van toestemming. Met wanverhouding wordt bedoeld dat degene die toestemming geeft, minder ‘macht’ heeft dan degene aan wie toestemming wordt gegeven; degene die toestemming geeft is afhankelijk van degene die de toestemming ontvangt. Denk hierbij bijvoorbeeld aan de verhouding werknemer-werkgever, of burger-overheid. Toestemming krijgen van een werknemer of een scholier is zelden mogelijk. Ook is geldige toestemming vragen als overheid zoals een gemeente nauwelijks mogelijk. Slechts in bijzondere situaties kan een toestemming worden gegeven bij een wanverhouding. Denk bijvoorbeeld aan:

  • Een gemeente wil burgers in een bepaalde wijk op de hoogte houden van de vorderingen rondom wegwerkzaamheden. Hiervoor kan iedereen zich inschrijven op een nieuwsbrief. De informatie van de nieuwsbrief wordt ook op de website van de gemeente getoond. Inschrijven voor de nieuwsbrief is niet verplicht, wie zich niet inschrijft loopt geen basisdiensten van de gemeente mis, er worden geen rechten geschonden of verminderd door het niet inschrijven. In deze situatie kan de gemeente (overheid) gebruik maken van toestemming voor de inschrijving van de nieuwsbrief. Dit is ook de enige rechtsgrond die de gemeente ter beschikking staat, omdat de nieuwsbrief geen specifieke taak is van de overheid, er is geen wettelijke verplichting, er is geen sprake van een overeenkomst of vitaal belang.
  • Een school vraagt leerlingen om een foto te mogen gebruiken in een gedrukte schoolkrant. Zolang de leerlingen niet worden uitgesloten van het onderwijs of andere diensten van de school, en geen enkel nadeel ondervinden van het onthouden van de toestemming, dan is toestemming de enige rechtsgrond die de school heeft om de foto te plaatsen in de schoolkrant.
  • Een werkgever wil een film laten maken in een bepaald gedeelte van het kantoor. Werknemers die in het betreffende deel van het kantoor zijn, worden gevraagd om toestemming om gefilmd te worden. Wie geen toestemming geeft, krijgt gedurende de opnames een gelijkwaardige werkplek elders in het gebouw.

Het koppelen van toestemming aan overige voorwaarden is niet mogelijk. Het geven van toestemming mag niet, al dan niet verkapt, een tegenprestatie zijn van de overeenkomst. Is het verwerken van de betreffende persoonsgegevens noodzakelijk voor het uitvoeren van de overeenkomst? Dan is de situatie wel eenvoudig: toestemming is niet de rechtsgrond, maar de noodzaak voor het kunnen uitvoeren van een overeenkomst.

Een voorbeeld waarin toestemming kan worden gevraagd, tegelijk met het tekenen van een overeenkomst is: een bank vraag toestemming om de contactgegevens van een nieuwe klant door te mogen geven aan derden voor direct marketing activiteiten. Als de nieuwe klant geen nadeel ondervindt van het weigeren van de toestemming, dan is deze toestemming waarschijnlijk wel geldig.

Specifiek

De eis om specifiek toestemming te geven, houdt in dat iemand alleen maar toestemming kan geven voor duidelijk omschreven doelstellingen. Een toestemming voor ‘het onderhouden van commerciële contacten’ is niet specifiek genoeg. Als de partij die toestemming kreeg voor een bepaald doel de persoonsgegevens wil gebruiken voor een ander doel, dan zal meestal opnieuw om toestemming moeten worden gevraagd.

Geïnformeerd

Degene die toestemming geeft, moet begrijpen waarvoor toestemming wordt gegeven. Er moet voorafgaand aan de toestemming informatie worden verstrekt, op grond waarvan degene die de toestemming geeft, kan besluiten om wel of niet toestemming te geven. De volgende informatie moet minimaal worden verstrekt voorafgaand aan de toestemming:

  • Aan wie wordt toestemming gegeven?
  • Waarvoor gaan de gegevens worden gebruikt (voor welk doel)?
  • Welke (soorten) gegevens worden verwerkt?
  • De toestemming kan elk moment worden ingetrokken.
  • Indien van toepassing, dat er geautomatiseerde besluitvorming kan plaatsvinden op basis van de gegevens.
  • Welke risico’s er zijn indien de informatie wordt doorgegeven aan landen waar geen passend veiligheidsniveau gegarandeerd is.

Het verstekken van de informatie moet op begrijpelijke wijze worden gedaan. Dit mag mondeling, schriftelijk of met een videoboodschap zijn. Maar de informatie mag niet alleen duidelijk zijn voor juristen. Hij moet duidelijk zijn voor de beoogde doelgroep.

Tip: laat de informatie bij voorkeur niet door een advocaat schrijven. Het is beter om niet helemaal volledig, maar wél begrijpelijk te zijn, dan volledig maar volkomen onbegrijpelijk.

De informatie mag wel in verschillende lagen worden verstrekt. Zo kan een eerste, erg eenvoudige uitleg worden gegeven, met een optie om uitgebreid verder te lezen.

Ondubbelzinnige wilsuiting

Het geven van toestemming moet gebeuren door een bewuste handeling of verklaring. Hier zijn een aantal regels voor opgesteld. U kunt te maken krijgen met valkuilen:

  • Een aankruisvakje op een webformulier, dat standaard is aangekruist om toestemming te geven, is niet rechtsgeldig. De gebruiker moet zélf actief het aankruisvakje aanklikken om de toestemming te geven.
  • Het niet reageren van een betrokkene levert géén geldige toestemming op.
  • Het aanvaarden van algemene voorwaarden levert géén ondubbelzinnige actieve handeling op voor het geven van toestemming.
  • Het normale gebruik van een website is géén gedrag waarmee geldige toestemming wordt gegeven
  • Het klikken op een knop van een popup scherm bij een website, om verder te mogen naar de website levert géén geldige toestemming op (inderdaad, alle cookiewalls leveren géén geldige toestemming op voor het plaatsen van cookies en het gebruik van de daarbij verzamelde informatie).

Uitdrukkelijke toestemming

Kan het nog ingewikkelder worden? Jazeker. Voor het verwerken van bijzondere persoonsgegevens is namelijk uitdrukkelijke toestemming vereist. Dit betekent dat er een aantoonbare verklaring moet zijn voor de toestemming van de verwerking van deze gegevens. Een veelgebruikte methode om deze aantoonbare toestemming te krijgen, is een schriftelijke verklaring, eventueel ondertekend door de betrokkene om elke twijfel en mogelijk gebrek aan bewijs in de toekomst weg te nemen. Maar een uitdrukkelijke toestemming kan bijvoorbeeld ook worden gegeven door het invullen van een elektronische webpagina, het versturen van een email, het uploaden van een ondertekend en gescand formulier, of door het plaatsen van een elektronische handtekening. Zelfs een mondelinge verklaring kan voldoende zijn, hoewel het geven van de toestemming dan later moeilijk te bewijzen kan zijn.

Aantoonbaarheid

De AVG verplicht de verwerkingsverantwoordelijke om aan te tonen dat er toestemming is verleend, de bewijslast ligt bij de organisatie die de gegevens wil (laten) verwerken. De manier van bewijzen is vormvrij, dat wil zeggen dat u zelf mag bepalen hoe u het bewijs regelt. Maar er mag geen twijfel zijn over de geldigheid van de toestemming. U moet er dus voor zorgen dat u kunt aantonen:

  • wie heeft toestemming gegeven;
  • waarvoor precies is toestemming gegeven;
  • wanneer is toestemming gegeven;
  • op grond van welke informatie is er toestemming gegeven;
  • op welke manier is er toestemming gegeven.

Bewaartermijn van toestemming

U moet het bewijsmateriaal van de toestemming bewaren zolang de verwerking, waarvoor toestemming gegeven is, nog wordt (of: zal worden) uitgevoerd. Nadat de verwerking van de persoonsgegevens is beëindigd mag het bewijsmateriaal alleen nog bewaard worden:

  • om te voldoen aan een wettelijke verplichting;
  • om te dienen als bewijsmateriaal voor een juridische procedure.
Intrekken van toestemming moet net zo makkelijk gaan als het verstrekken van de toestemming.

Bruikbaarheidstermijn van toestemming

Hoe lang een bepaalde toestemming geldig is, wordt niet bepaald in de AVG. Dit hangt onder andere af van de situatie waarin de toestemming gebruikt wordt en de verwachtingen van de betrokkenen. Als de verwerkingen, waarvoor toestemming was gegeven, veranderen, dan is de toestemming niet meer geldig en moet er opnieuw toestemming worden gevraagd.

Intrekken van toestemming?

Intrekken van toestemming moet net zo makkelijk gaan als het verstrekken van de toestemming. Dit betekent niet dat beide handelingen op dezelfde wijze moeten verlopen. Het intrekken mag ook geen nadeel opleveren voor de betrokkene. Dat betekent bijvoorbeeld dat een serviceniveau niet mag verslechteren omdat er geen toestemming meer is gegeven voor een bepaalde verwerking. Na het intrekken van de toestemming moet u onmiddellijk de verwerkingen op grond van die toestemming stopzetten. Eerder uitgevoerde verwerkingen zijn wél rechtsgeldig uitgevoerd. U hoeft daarom dan ook geen informatie te vernietigen, die op grond van de eerder verleende toestemming is verwerkt, tenzij er geen enkele rechtsgrond meer is om deze informatie nog langer te bewaren. Denk hierbij aan statistieken die u hebt opgebouwd op basis van gegeven toestemmingen. Het is mogelijk dat u een gerechtvaardigd belang hebt om deze statistieken nog te gebruiken, terwijl de brondata kan worden vernietigd.

Toestemming en wetenschappelijk onderzoek

Indien toestemming de rechtsgrond is voor het verwerken van persoonsgegevens in het kader van wetenschappelijk onderzoek, dan krijgt u iets meer vrijheid in het formuleren van de doeleinden; het is immers niet op voorhand precies mogelijk om te bepalen welke richting een onderzoek precies op gaat. Dit ontslaat u niet van de overige verplichtingen die hierboven al werden genoemd. Het is raadzaam om een specialist om advies te vragen indien u denkt dat toestemming voor de verwerking van persoonsgegevens vereist is voor het uitvoeren van wetenschappelijk onderzoek dat u wilt uitvoeren.

Toestemming en kinderen

Een laatste punt van aandacht ligt bij het verkrijgen van toestemming van kinderen. De AVG probeert kinderen te beschermen, met name tegen direct marketing en grootschalige profilering, ervan uitgaande dat kinderen moeilijker dan volwassenen kunnen inschatten wat de gevolgen zijn hiervan. Als toestemming van een kind de rechtsgrond is om persoonsgegevens te verwerken, dan moet u op een voor het kind begrijpelijke wijze het kind hebben geïnformeerd over de mogelijke gevolgen. Daarbij moet u voor kinderen, jonger dan 16 jaar, ook toestemming of machtiging hebben gekregen van een persoon die de ouderlijke verantwoordelijkheid draagt. Het is aan u om te kunnen aantonen dat deze ouderlijke toestemming door de juiste persoon is gegeven, anders is de verkregen toestemming ongeldig en de verwerking van de persoonsgegevens onwettig.

Het is erg moeilijk om aantoonbaar geldige toestemming van een kind en diens ouders te krijgen. Laat u bijstaan door een specialist indien u dit pad gaat volgen.

5 Praktische tips

Enkele praktische tips met betrekking tot het ontvangen van toestemming:

  1. Controleer of u ‘Toestemming’ wel nodig hebt als rechtsgrond voor de verwerking.
  2. Houd een register bij van ontvangen verklaringen van toestemming:
    a. Zorg dat u kunt aantonen hoe u de toestemming hebt gekregen, van wie en waarvoor, op grond van welke informatie, en op welke manier de toestemming is gevraagd.
    b. U mag verwijzen in dit register naar elders opgeslagen procedures, brieven of e-mails, privacy statements etc. om het register leesbaar te houden.
  3. Zorg voor goede procedures om het intrekken van toestemming in goede banen te leiden, evenals het verwijderen van niet meer bruikbare persoonsgegevens.
  4. Gebruik de volgende checklist om te controleren of u aan alle vereisten voldoet.
  5. Het kan later veel problemen voorkomen als u op voorhand advies vraagt aan een specialist op het moment dat u denkt dat toestemming de correcte grondslag is voor een bepaalde verwerking.