Privacy Friendly

Opinie

Het onterechte gebruik van toestemming

14 april 2019, 20:39

Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.

In artikel 6 lid 1 van de AVG worden de zes mogelijk grondslagen genoemd. Dit zijn:

  1. a) Toestemming: De betrokkene geeft in alle vrijheid expliciete toestemming. Je doet bijvoorbeeld mee aan een consumentenonderzoek, waarbij je akkoord gaat met het registeren van jouw contactgegevens.
  2. b) Uitvoering van overeenkomst: Het is voor de verwerker noodzakelijk om persoonsgegevens te verwerken, zodat kan worden voldaan aan een overeenkomst die de betrokkene heeft met een derde partij. Een overeenkomst is de acceptatie van een aanbod. Deze grondslag geldt bijvoorbeeld voor een online webshop waar jij een boek bestelt (aanbod: het boek, de acceptatie: de bestelling), maar ook voor de koeriersdienst die het boek vervolgens bij jou thuis bezorgt.
  3. c) Wettelijke verplichting: De wet zegt dat de verwerker verplicht is om bepaalde persoonsgegevens te verwerken. Zo is de Nederlandse gemeente waarin jij woont, wettelijk verplicht om te registeren dat jij daar woont.
  4. d) Bescherming vitale belangen: Iemands gegevens worden worden verwerkt voor het beschermen van zijn of haar vitale belangen. Met andere woorden, als jij bijvoorbeed in kritieke toestand naar het ziekenhuis wordt afgevoerd, dan mag medisch personeel jouw medische gegevens inzien als zij dat nodig achten om jouw leven te kunnen redden.
  5. e) Algemeen belang: De verwerker moet deze gegevens verwerken voor het kunnen uitvoeren van een taak die van algemeen belang is. Denk aan een fotograaf die een persfoto maakt voor in de krant. Daar kunnen mensen op staan. Het brengen van het nieuws is in ieders belang. Als bijvoorbeeld het imago of het belang van de personen op de foto niet worden geschaad, dan is volgens de wetgever voor journalistieke doeleinden toegestaan om foto's te maken waar toevallig mensen opstaan en die te publiceren. Ook het kunnen uitvoeren van een taak in het kader van het openbaar gezag wordt gezien als algemeen belang.
  6. f) Gerechtvaardigd belang: Het gerechtvaardigd belang blijft een lastige. Bij het kiezen van deze grondslag moet bekeken worden of de verwerking mogelijk de grondrechten en fundamentele vrijheden van de betrokkene raakt. Vervolgens moet een goede afweging gemaakt worden wat zwaarder weegt; de noodzaak tot verwerken of de grondrechten en vrijheden van de betrokkenen. Dit geldt met name als de betrokkene een kind is. Over deze afweging kan in potentie een lange, ingewikkelde discussie ontstaan, met tegenstrijdige opvattingen vanuit beide zijden. Overheidsinstanties mogen bij de uitoefening van hun taak geen gebruik maken van deze grondslag. Als zij voor het uitoefenen van hun taak een bepaalde verwerking nodig hebben, dan dienen zij dat in wetgeving vast te leggen en dus vervolgens voor grondslag c (wettelijke verplichting) te gaan.

De grondslag 'toestemming' is eigenlijk een aparte in dit rijtje. Voor alle overige grondslagen geldt dat er een valide reden is voor de verwerking van persoonsgegevens. De betrokkene heeft in veel gevallen zelf baat bij de verwerking of bij het feit dat dit soort verwerkingen zijn toegestaan. Als je van mening bent dat je een eerlijke reden hebt om persoonsgegevens te verwerken, dan is daar waarschijnlijk een grondslag voor anders dan 'toestemming'. Als er geen eerlijke reden is, maar je toch persoonsgegevens wil verwerken, dan is de enige manier door netjes te vragen of het alsnog mag. Zie daar de grondslag toestemming.

Omdat toestemming zo'n aparte grondslag is, gelden daar allemaal extra regels voor. Zo moet de toestemming in alle vrijheid kunnen worden gegeven, moet je de gegeven toestemming kunnen aantonen, moet je een toestemmingsregister hebben en moet je de betrokkenen de mogelijkheid bieden om hun toestemming weer in te trekken op een vergelijkbaar eenvoudige wijze als waarop de toestemming is gegeven. Indien het gaat om toestemming voor een dienst aan kinderen, dan moet de toestemming van de ouders verkregen worden. Daarbij moet je ook nog eens een redelijke inspanning doen om er zeker van te zijn dat het dan ook daadwerkelijk om personen met ouderlijke verantwoordelijkheden gaat.

Desondanks zien we toestemming onterecht op vele plekken terugkomen. Zo wordt soms om toestemming gevraagd bij het inschrijven voor nieuwsbrieven (dus zonder dat je iets koopt of je ergens aanmeldt), terwijl de grond gewoon de uitvoering van een overeenkomst (met betrokkene) is: aanbod van een dienst (de nieuwsbrief) en de acceptatie daarvan (via een inschrijving). Of toestemming bij de inschrijving voor een sportclub: uitvoering van een overeenkomst. Of een werkgever die aan de medewerkers toestemming vraagt om een foto met naam op een intern smoelenboek te zetten: gerechtvaardig belang (de grondslag) bij dat collega's elkaar van naam kennen. Toestemming is niet nodig.

Gebruik dus geen toestemming als dat niet nodig is. Je geeft daarmee onterecht het signaal af dat jouw verwerking dusdanig apart is dat er toestemming nodig is en je haalt je onnodig een hoop werk op de hals. En bedenk je ook eens wat de gevolgen zijn als een betrokkene zijn of haar toestemming weer intrekt. Is dat uberhaupt mogelijk gezien de afhankelijkheid van de gegevens binnen het proces? Een proces baseren op een onzekere externe factor terwijl dat niet nodig is, is niet verstandig.

Er is een simpel ezelsbruggetje: "toestemming is stemmingmakerij". Je doet alsof jouw verwerking te rechtvaardigen is, maar dat is eigenlijk niet zo. Als je verwerking eerlijk is naar de betrokkenen, dan kom je niet op toestemming uit. Die gronden van de AVG zijn niet voor niets zo gekozen. De privacy-expert herkent "toestemming" als wanhoopsdaad. Als je geen overeenkomst hebt, geen gerechtvaardigd belang of publiek belang hebt, wat ben je dan aan het doen?