Toestemming
Door Legalitadvies.nl
Gepubliceerd Op 10 juni 2020
Onlangs publiceerde de European Data Protection Board nieuwe richtlijnen voor de grondslag toestemming. In deze richtlijnen staat onder andere dat de cookiewall verboden is én aan welke voorwaarden toestemming moet voldoen.
Omdat cookiewalls en niet of onjuiste naleving van toestemmingsvoorwaarden helaas nog steeds dagelijkse kost is, staat hieronder (met name voor het mkb) een checklist om te toetsen of het gebruik van toestemming aan de eisen voldoet.
Overigens adviseer ik (indien mogelijk) altijd om andere verwerkingsgrondslagen te gebruiken. Toestemming is namelijk niet eenvoudig vanwege:
- stevige voorwaarden;
- een kostenpost voor het beheer;
- de mogelijkheid om toestemming in te trekken (bedrijfscontinuïteit loopt gevaar).
Wat is toestemming?
Toestemming is één van de zes mogelijkheden voor een rechtvaardige verwerking van persoonsgegevens. Toestemming kan beschouwd worden als een soort van overeenkomst: die komt namelijk tot stand door aanbod en aanvaarding. In dit geval is toestemming aanvaarding van en het aanbod kan van alles zijn (bijvoorbeeld een product of dienst), waarvoor het noodzakelijk is om persoonsgegevens te verwerken.
Om te zorgen dat de overeenkomst eerlijk tot stand komt moet onder meer duidelijk zijn welke en hoe de persoonsgegevens worden verwerkt en voor welk doel – het aanbod moet dus duidelijk en begrijpbaar zijn. Is daar geen sprake van, dan komt de overeenkomst niet geldig tot stand (de toestemming is niet geldig).
Om misleiding te voorkomen stelt de wetgever eisen aan toestemming door de volgende definitie te hanteren: “toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.
Deze voorwaarden en andere aandachtspunten voor toestemming staan in de checklist hieronder. Toelichting over de voorwaarden en aandachtspunten staan verderop.
Checklist toestemming
|
Voorwaarden & Aandachtspunten |
Check – ✔ |
|
Vrijelijk |
|
|
Ondubbelzinnig |
|
|
Geïnformeerd |
|
|
Specifiek |
|
|
Intrekken toestemming |
|
|
Toestemming kinderen onder de 16 |
|
|
Beheer toestemming |
Voorwaarden voor toestemming
Vrijelijk
Toestemming moet op basis van vrije wilsuiting gegeven worden. Er mag geen sprake zijn van enige vorm van druk of negatieve gevolgen wanneer toestemming niet wordt gegeven. Vandaar dat de cookiewall niet is toegestaan, er kleeft een nadelig gevolg aan: het niet kunnen bezichtigen van de website.
Ondubbelzinnig
Het moet volstrekt duidelijk zijn waar toestemming voor wordt gegeven. Daarvoor is een actieve handeling vereist. Maak bijvoorbeeld gebruik van aanvinkhokjes met een duidelijke doelomschrijving van de verwerking. Vooraf aangevinkte hokjes is niet toegestaan. Ook is een mondelinge toestemming of schriftelijke bevestiging afdoende.
Geïnformeerd
Het moet volkomen helder zijn waarvoor toestemming wordt gegeven. Deze informatieplicht maakt het mogelijk een weloverwogen beslissing te nemen. Probeer een goede balans te vinden: vermeld niet te veel informatie, want dan wordt de informatie misschien niet gelezen. Vermeld in ieder geval de minimale informatie hieronder:
- je identiteit;
- doel(len) van de verwerking;
- het typen persoonsgegevens;
- rechten van de toestemmingsverlener;
- informatie over geautomatiseerde besluitvorming (indien van toepassing), en
- de toegepaste beveiligingsmaatregelen.
Specifiek
Toestemming moet specifiek zijn en dus per verwerkingsdoel worden gevraagd. Toestemming vragen voor marketing om vervolgens marketingmails en nieuwsbrieven met productaanbiedingen te sturen is niet toegestaan. Vraag dus per verwerkingsdoel toestemming door bijvoorbeeld het gebruik van meerdere aanvinkhokjes. Overigens mag het verwerkingsdoel gaandeweg niet veranderen.
Kinderen onder de 16 jaar
Kinderen onder de zestien jaar zijn volgens de wet een kwetsbare groep: zij kunnen niet goed de gevolgen van een gegevensverwerking inschatten. Om deze kwetsbare groep te beschermen is toestemming van een ouder of voogd nodig.
Intrekken van de toestemming
Intrekken van toestemming moet op elk willekeurig moment mogelijk zijn en moet net zo makkelijk zijn als het geven van toestemming. Ook mag het intrekken van toestemming geen nadelige gevolgen hebben.
Beheer van de toestemming?
De AVG verplicht aantoonbaar in controle te zijn over de omgang met persoonsgegevens. Dat leidt tot een bewijslast van de grondslag toestemming. Er zijn geen verplichtingen hoe dat moet worden geregeld, wel zijn er praktische handvaten.
Het gebruik van een database (Excelsheet of online applicatie) is een werkbare oplossing. Zorg dat de database wordt opgeschoond zodra wijzigingen plaatsvinden. Plaats de volgende informatie in de database:
- naam en achternaam van de toestemmingsverlener;
- wanneer toestemming is verleend;
- de toepasselijke toestemmings- en privacyverklaring;
- hoe de toestemming is gegeven (een kopie van het document of een screenshot en een tijdstempel);
- of toestemming is ingetrokken en wanneer.
Conclusie
Er zijn nogal wat verplichtingen om toestemming juist toe te passen. Daarbij kan toestemming altijd worden ingetrokken – niet handig voor de bedrijfscontinuïteit. Vermijd daarom het gebruik van toestemming. Wordt toestemming toch gebruikt? Neem dan in ieder geval de juiste stappen om het goed in te regelen.
Auteur: Sander van der Smit
