Afl. 9 Controleer de manier waarop toestemming wordt gevraagd

De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

Aflevering 9, 20 december 2017

Persoonsgegevens mogen alleen worden verwerkt als er een rechtmatige grondslag voor verwerking is. Toestemming van de betrokkene is een van de 6 grondslagen. Andere voor private organisaties belangrijke grondslagen zijn bijvoorbeeld dat:

  • de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
  • de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  • de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

Als echter toestemming de grondslag is voor de verwerking let dan op het volgende. De toestemming moet namelijk vrij, specifiek, geïnformeerd, ondubbelzinnig, actief en controleerbaar zijn. Uit zwijgen of niet-handelen mag geen toestemming worden afgeleid. Dit betekent onder meer het volgende:

  • De toestemming moet voor een of meer specifieke doelen zijn gegeven. Een algemene toestemming om persoonsgegevens voor allerlei niet benoemde doelen te verwerken, volstaat dus niet. Het moet de betrokkene duidelijk zijn voor welke specifieke verwerking hij/zij toestemming geeft. Toestemming van een betrokkene aan een organisatie om gegevens te verwerken om een offerte te kunnen doen, betekent dus niet dat die gegevens ook mogen worden gebruikt om ze te verkopen aan een derde partij voor direct marketing doeleinden.
  • De toestemming moet ondubbelzinnig zijn. Impliciete toestemming (zoals een klant die een vooraf geplaatst vinkje niet weghaalt), is geen ondubbelzinnige toestemming.
  • Zorg dat de verleende toestemming voor het betreffende doel wordt vastgelegd én bewaard. Zorg ook dat de verstrekte informatie op basis waarvan de betrokkene toestemming gaf wordt bewaard. De accountability wordt onder de AVG heel belangrijk. Als een klant bijvoorbeeld mondeling toestemming geeft – bijvoorbeeld telefonisch – dan vergt dat aandacht van de organisatie en haar medewerkers om de mondelinge toestemming goed te noteren en ook dat duidelijk is welke informatie hieromtrent aan de klant is gegeven. Als dat kan, is het aan te raden die toestemming bijvoorbeeld per e-mail te bevestigen.
  • Zorg ervoor dat de toestemming vrij is. Dat betekent dat het weigeren van toestemming niet nadelig mag zijn. Het niet toelaten tot bepaalde gedeeltes van een website omdat een bezoeker weigert persoonsgegevens te verstrekken is verboden.

Als er bijzondere persoonsgegevens worden verwerkt, zoals die over ras-/etniciteit, religie of seksuele voorkeur, dan moet de toestemming zelfs uitdrukkelijk worden verleend. “Uitdrukkelijke toestemming” gaat een stap verder dan de ondubbelzinnige toestemming. In dat geval dient de betrokkene door middel van een expliciete wilsuiting tot uitdrukking hebben gebracht dat hij toestemming verleent voor een hem betreffende gegevensverwerking. We spreken wel over ‘informed consent’.

Bij verwerking van persoonsgegevens van minderjarigen, jonger dan 16 jaren, i.v.m. het verlenen van diensten van de informatiemaatschappij, moet iemand die de ouderlijke macht heeft toestemming verlenen. Dat is nog wel een uitdaging: hoe identificeert de verwerkingsverantwoordelijke die ouder?

De AVG zegt erover: “Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.” Hoe stellen bijvoorbeeld Facebook en Instagram van een 14-jarige vast dat degene die toestemming verleent de ouderlijke macht bezit?   

Kortom, werk aan de winkel. Broeseliske Van Vlijmen Advocaten helpt en adviseert.