Onterecht wordt gedacht dat sinds het van toepassing worden van de Algemene Verordening Gegevensbescherming (AVG) organisaties geen persoonsgegevens meer mogen verwerken en ze overal toestemming voor moeten vragen. Dat jarenlang de bestaande regels die vrijwel ongewijzigd in de AVG terugkomen zijn genegeerd, waardoor aandacht voor rechtmatige en zorgvuldige gegevensverwerking verslapt, zo niet afwezig was, wordt vergeten. De AVG is immers de boosdoener en de redding is toestemming.
Helaas is er na de invoering van de AVG nogal wat verwarring ontstaan omtrent het gebruik van ‘toestemming’ als grond voor de verwerking. Enkele van de meest voorkomende misverstanden die wij tijdens onze werkzaamheden zijn tegengekomen, worden in dit artikel uiteengezet.
Toestemming als ‘heilige graal’
Te pas en te onpas wordt er aan betrokkenen akkoord gevraagd om hun persoonsgegevens te mogen gebruiken – terwijl dit in veel gevallen nergens voor nodig is! Toestemming is zeker niet de enige grondslag – er zijn immers nog vijf andere grondslagen opgenomen in de AVG (contract, wettelijke verplichting, vitaal belang, algemeen belang/publieke taak, gerechtvaardigd belang) op basis waarvan gegevens mogen worden verwerkt. Toestemming als grondslag voor verwerking van persoonsgegevens dient in feite enkel in situaties te worden gebruikt waarbij er geen beroep op de andere grondslagen kan worden gedaan.
Er bestaat een hardnekkig idee bij veel organisaties dat het gebruiken van toestemming als grondslag voor de verwerking van persoonsgegevens een soort ‘free pass’ is: de heilige graal waardoor ze de persoonsgegevens die ze verzamelen fijn kunnen blijven gebruiken, zonder dat hier verder nog eisen aan verbonden zijn.
Zelfs als de gegeven toestemming geldig is (vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting) kan het nog steeds zijn dat de verwerking zelf onrechtmatig is. De verwerking moet namelijk ook aan de andere basisprincipes uit artikel 5 van de AVG voldoen. Het rechtmatig verwerken van gegevens is er daar maar een van.
Daarnaast vergeet men dat bij het gebruik van toestemming als verwerkingsgrondslag, de betrokkene het recht toekomt deze op elk moment in te trekken wat betekent dat de verwerking meteen gestaakt moet worden. Het verwerken van persoonsgegevens op basis van toestemming terwijl de verwerking in feite noodzakelijk is voor uitvoering van de reeds bestaande overeenkomst, zorgt voor onnodige verwarring en zet de betrokkenen op het verkeerde been als het gaat om het intrekken van het door hen gegeven akkoord.
Toestemming als grondslag vs. als vereiste
Naast de verwarring omtrent het kunnen vragen van toestemming voor alles, ontstaat er ook verwarring tussen ‘toestemming’ als basis voor de gegevensverwerking en ‘toestemming’ als een uitzondering op een verbod, of als voorwaarde voor het toepassen van een wettelijke bevoegdheid. Een voorbeeld van het eerste geval betreft de toestemming op basis van artikel 7:457 Burgerlijk Wetboek (Wet op de geneeskundige behandelingsovereenkomst) om persoonsgegevens van de patiënt met anderen dan de patiënt en/of rechtstreeks bij de behandeling betrokken zorgverleners te delen. Dit is een vereiste voor het doorbreken van het beroepsgeheim aangezien er aanvankelijk een verbod op het delen van die gegevens bij wet is geregeld. Een voorbeeld van het tweede geval betreft het vragen van toestemming voor het binnentreden van de woning door de ambtenaar voor het waarnemen van de thuissituatie ten behoeve van de beoordeling op een uitkeringsaanvraag op grond van de Participatiewet. Deze is dan bedoeld voor het binnentreden en niet voor het verwerken van persoonsgegevens.
Dit soort toestemming is dus niet de grondslag van een gegevensverwerking, maar enkel een component voor het beoordelen van de rechtmatigheid van de verwerking, welke in voorgenoemde gevallen dus plaatsvindt op grond van de uitvoering van respectievelijk de behandelingsovereenkomst, dan wel een wettelijke taak. Zonder de toestemming schendt de behandelaar het beroepsgeheim en vervalt voor de ambtenaar de wettelijke grondslag om binnen te treden en als gevolg daarvan de gegevens tijdens dat bezoek te mogen verwerken. Dit soort toestemming moet dus worden gezien als een additioneel wettelijk vereiste waaraan moet worden voldaan om aan het rechtmatigheidsvereiste uit de AVG te voldoen, maar geldt niet als de grondslag voor de verwerking.
Aantoonbare toestemming
Een ander veel voorkomend misverstand over toestemming is dat deze altijd schriftelijk – al dan niet via elektronische wijze – gegeven moet worden bijvoorbeeld door middel van een getekende verklaring. Men gebruikt hiervoor vaak het argument dat de verwerkingsverantwoordelijke de toestemming op basis van de AVG ook moet kunnen aantonen. Deze opvatting is echter niet helemaal juist. Toestemming voor het verwerken van persoonsgegevens kan ook doorgaans mondeling worden gegeven, alsook aangegeven in grond 32 van de AVG. Hiervan zijn enkel uitgezonderd die activiteiten waarvoor volgens de wet schriftelijke toestemming nodig is, een beetje zoals ook bij het afsluiten van overeenkomsten: mondelinge overeenkomsten mogen, maar niet als iemand een huis wil kopen.
Bij het verkrijgen van een mondeling akkoord zal men rekening moeten houden met het feit dat deze minder makkelijk aantoonbaar is dan een getekende verklaring of een aangekruist hokje op een website en het drukken op ‘akkoord’. Om het toch aantoonbaar te maken kan de mondelinge toestemming bijvoorbeeld worden opgenomen of worden vastgesteld op basis van getuigenverklaringen. Wil je bijvoorbeeld de namen van geslaagden in de krant zetten als school, dan volstaat de simpele vraag in de klas of iedereen akkoord is met de publicatie van zijn of haar naam in de krant, als zij slagen. De leerlingen moeten in een dergelijk geval wel actief ‘ja’ zeggen, het enkel stilzwijgen voldoet namelijk niet aan de eisen die de AVG stelt.
Toestemming intrekken
Toestemming mag volgens de AVG te allen tijde door de betrokkene worden ingetrokken. Het intrekken hiervan moet net zo makkelijk zijn voor de betrokkene als het was om deze te geven. Het is van belang dat organisaties dit proces goed inrichten, zodat ze het intrekken van de toestemming juist registreren en verwerken. Zodra de toestemming ingetrokken wordt, dient de verwerking van persoonsgegevens te stoppen. Vaak moeten hiervoor meerdere afdelingen worden geïnformeerd. Ervoor zorgen dat dit snel en volledig gebeurt, is bij het opstellen van een procedure met betrekking tot het intrekken van toestemming van groot belang.
Ook omtrent het weer intrekken van een eens gegeven akkoord bestaat enige verwarring. Het intrekken van toestemming wordt vaak gelijkgesteld aan een ‘opt-out’. Een opt-out volgt echter niet altijd op het geven van toestemming. Bij de aankoop van een product in bijvoorbeeld een webwinkel wordt vaak om een emailadres gevraagd waarna hoogstwaarschijnlijk nieuwsbrieven over gelijkwaardige producten of diensten volgen. Op het moment dat men deze nieuwsbrieven niet meer wil ontvangen, meld men zichzelf hiervoor af; een zogenoemde opt-out. Het gaat hierbij niet om het intrekken van de toestemming, simpelweg omdat er nooit toestemming is gegeven. De nieuwsbrieven zijn namelijk verstuurd op basis van het gerechtvaardigd belang van de organisatie waar deze vandaan komen en niet op basis van een gegeven akkoord.
En nu?
Het vragen van toestemming voor de verwerking van persoonsgegevens moet worden gezien als ‘last resort’. Dit altijd in combinatie met het voldoen aan de overige principes uit artikel 5 AVG. Verwerkt uw organisatie persoonsgegevens dan raden wij u aan na te gaan op basis van welke grondslagen de persoonsgegevens worden verwerkt, of deze grondslagen de juiste grondslagen zijn en of er nog aanvullende wettelijke eisen hieraan gebonden zijn. Daarnaast adviseren wij u te bepalen welke verwerkingen op deze grondslag worden gebaseerd, hoe u het intrekken hiervan faciliteert voor betrokkenen en welke gevolgen dit heeft voor uw organisatie.
Bent u benieuwd of uw organisatie het proces rondom toestemming goed heeft ingericht en of u wel gebruik maakt van de juiste grondslagen voor de verwerking van persoonsgegevens? Onze privacy consultants staan klaar om u hiermee op weg te helpen. U kunt Cuccibu bereiken via info@cuccibu.nl of +31 (0) 85 303 2984.