Als je persoonsgegevens verwerkt, moet je daarvoor een geldige grondslag hebben. In een eerdere blog hebben we de zes verschillende grondslagen uit de AVG al kort besproken. In deze blog gaan we dieper in op de grondslag ‘toestemming’.
In tegenstelling tot de andere grondslagen wordt bij toestemming de keuze om wel of niet bepaalde gegevens te verwerken gelaten aan de betrokkene. De toestemming moet alleen wel op een juiste manier worden gevraagd, anders is deze ongeldig. Het gevolg daarvan is dat je geen grondslag hebt voor de verwerking, waardoor je verwerking onrechtmatig is. In deze blog bespreken we hoe je rechtsgeldige toestemming vraagt.
De eisen aan geldige toestemming
Uit de regels in de AVG over toestemming halen we vier eisen: (1) toestemming moet vrij gegeven worden; (2) toestemming moet specifiek zijn; (3) er moet goed geïnformeerd worden en (4) toestemming moet via een duidelijke, ondubbelzinnige verklaring of actieve handeling gegeven worden. Daarnaast is er nog de extra eis dat toestemming intrekbaar moet zijn.
Toestemming moet vrij gegeven worden
Met de eerste eis aan geldige toestemming, een vrije wilsuiting, wordt bedoeld dat de personen aan wie je toestemming vraagt een daadwerkelijke keuze hebben. Als iemand geen echte vrije keuze heeft, zich gedwongen voelt of het voor diegene nadelige gevolgen heeft om toestemming te weigeren, dan is de toestemming niet ‘vrij’ en dus niet geldig. Er zijn een aantal gevallen denkbaar waarin er in beginsel geen sprake is van een vrije keuze.
Denk allereerst aan het geval waarin iemand geheel of gedeeltelijk wordt uitgesloten van een bepaalde dienst of website, omdat diegene geen toestemming geeft. Er kan dan geen toestemming worden gegeven zonder nadelige gevolgen, waardoor eventueel gegeven toestemming niet geldig is. Toestemming kan dus ook niet worden opgelegd als niet-onderhandelbare voorwaarde in een contract. Ook wanneer iemand extra kosten maakt door weigering of intrekking van toestemming, is de toestemming niet ‘vrij’ gegeven.
Daarnaast kan het zijn dat er geen echte vrije keuze is vanwege een ongelijke verhouding in de relatie, zoals in de relatie tussen burger en overheid of tussen werknemer en werkgever. Door de afhankelijkheid van de werkgever kan een werknemer zich al snel gedwongen voelen om de toestemming maar wel te geven, bijvoorbeeld uit angst voor consequenties. De toestemming is dan dus niet geheel vrij. In de burger-overheid relatie is er nog sneller sprake van een dergelijke wanverhouding. Een burger heeft vaak diensten van de overheid nodig, waarvoor geen alternatieven zijn. Denk aan je DigiD of het aanvragen van een rijbewijs of reisdocument. Omdat het weigeren van toestemming in deze gevallen uitsluiting van de diensten zou betekenen, is toestemming hier niet vrij. De burger kan namelijk niet weigeren zonder nadelige gevolgen. De overheid kan zich daarom maar zelden op toestemming beroepen en gebruikt meestal een andere grondslag zoals ‘wettelijke plicht’ of ‘publieke taak’.
Toestemming moet specifiek zijn
Volgens de tweede eis moet toestemming gericht zijn op één of meer specifieke doeleinden. Dit houdt allereerst in dat er vooraf een uitdrukkelijk omschreven en gerechtvaardigd doeleinde moet zijn vastgesteld. Als je toestemming vraagt voor dat bepaalde doel, mag je niet gaandeweg afwijken van dat doel. Ten tweede betekent ‘specifiek’ dat toestemming alleen geldt voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Als er meerdere doeleinden zijn, moet je daar dus aparte toestemming voor vragen. Je mag niet in één keer voor allerlei verschillende doeleinden toestemming vragen. Ten derde houdt ‘specifiek’ in dat het vragen van toestemming en de bij die toestemmingsvraag horende informatie duidelijk moet zijn en apart beschikbaar moet zijn van de overige informatie. Het moet helder zijn dat je vraagt om toestemming, dat mag niet verborgen zitten in een lange tekst.
Er moet goed geïnformeerd worden
De derde eis aan geldige toestemming is dat er goed geïnformeerd moet worden. Hiervan is sprake als de betrokkene bekend is met:
- de identiteit van de verwerkingsverantwoordelijke;
- de doeleinden van de verwerking;
- de (soorten) verwerkte persoonsgegevens; en
- het feit dat hij de toestemming altijd kan intrekken.
Er zijn geen eisen voor de vorm van deze informatie; het mag schriftelijk, mondeling of zelfs in een video worden verstrekt. Voorwaarde is wel dat het begrijpelijk is, waarbij je ook rekening moet houden met je doelgroep. Een tekst vol juridisch jargon levert dus geen geïnformeerde toestemming op. Daarnaast moet de informatie goed zichtbaar zijn. De informatie moet rechtstreeks worden gegeven; slechts verwijzen naar de plek van de informatie is onvoldoende. Ten slotte mag de informatie niet misleidend zijn of oneerlijke bedingen bevatten.
Deze informatieplicht staat los van de overige transparantieverplichtingen uit de AVG. Met name in samenhang met het vereiste van ‘specifieke’ toestemming is het onvoldoende om te verwijzen naar je privacyverklaring. Daar staat namelijk meer informatie dan alleen de informatie die is vereist bij het vragen van toestemming, terwijl bij het vragen van toestemming die informatie duidelijk apart moet worden verstrekt.
Ondubbelzinnige wilsuiting
Voor geldige toestemming is verder een “ondubbelzinnige wilsuiting” nodig, door middel van “een verklaring of ondubbelzinnige actieve handeling”. Kortweg betekent dit dat er geen twijfel mag bestaan over de wil van de betrokkene om daadwerkelijk toestemming te geven.
Een dergelijke ondubbelzinnige wilsuiting kan op veel manieren worden gegeven, waaronder mondeling, schriftelijk, door het aankruisen van een vakje of het selecteren van instellingen (zoals vaak bij cookies). ‘Wie zwijgt stemt toe’ gaat dus niet op volgens de AVG, omdat er niet sprake is van een actieve handeling. Vooraf ingevulde vakjes om toestemming te geven leveren om dezelfde reden geen geldige toestemming op; de gebruiker moet actief het vakje aanklikken. Ook actieve handelingen die op meerdere dingen zien dan alleen toestemming, zoals bijvoorbeeld het akkoord gaan met bepaalde voorwaarden, voldoen niet aan de eisen. Zo’n algemene/brede toestemming is dan immers niet vrij, specifiek én geen ondubbelzinnige wilsuiting die ziet op het geven van toestemming voor het verwerken van persoonsgegevens. Verder mag het taalgebruik bij het vragen van toestemming niet dubbelzinnig zijn, omdat dat voor twijfel zorgt over waarvoor de toestemming is gegeven. De ondubbelzinnige wilsuiting hangt dus erg samen met de eisen van specifieke en geïnformeerde toestemming.
Toestemming moet intrekbaar zijn
Het laatste vereiste is dat toestemming intrekbaar moet zijn. Je moet bij het vragen van toestemming de betrokkene hier ook op wijzen. Als een betrokkene zijn toestemming intrekt, moet je meteen stoppen met de verwerking. Het intrekken van toestemming moet even makkelijk zijn als het geven ervan. Als je met een vinkje toestemming kunt geven, maar de klantenservice moet bellen om de toestemming in te trekken, is dat onevenredig veel moeite. Het gevolg is dat de gehele toestemming ongeldig is. Daarnaast mag het intrekken van toestemming, net als het niet geven van toestemming, geen nadelige gevolgen hebben.
Tot slot
Toestemming is een grondslag waar je een beroep op kan doen als geen van de andere grondslagen van toepassing is. Toestemming is daarentegen niet een middel om ongelimiteerd persoonsgegevens te kunnen verwerken. Ook als je toestemming vraagt of al hebt verkregen, moet je je als verwerkingsverantwoordelijke houden aan de beginselen van de AVG. Zo moet de verwerking behoorlijk/eerlijk zijn en mag je niet meer gegevens verwerken dan noodzakelijk is voor het gestelde doel of al verzamelde persoonsgegevens zomaar gebruiken voor andere doelen. Daarnaast moet je als verwerkingsverantwoordelijke kunnen aantonen dat je geldige toestemming hebt gekregen. Dat houdt dus niet in dat je enkel kunt verwijzen naar een aangekruist vakje: je moet bewijzen dat aan de bovenstaande eisen is voldaan.
De IT-Jurist helpt
Toestemming vragen klinkt eenvoudig, maar er zijn dus strenge eisen verbonden. Heb je hulp nodig met het op correcte wijze vragen van toestemming? Of vraag je je af of toestemming wel de juiste grondslag is om te gebruiken voor je verwerking? Wil je weten hoe je organisatie kan voldoen aan de wetgeving inzake privacy? Neem gerust contact met ons op. De IT-Jurist beantwoordt graag je vragen en ondersteunt je bij het opstellen van overeenkomsten en andere documenten met betrekking tot privacy.