De ene toestemming is de andere niet

In de aanloop naar 25 mei 2018 publiceert de Artikel 29-werkgroep (“WP29”) regelmatig richtsnoeren met een nadere toelichting op de verschillende kernbegrippen onder de Algemene Verordening Gegevensbescherming (de “Privacyverordening”). Ovidius bespreekt in deze update de toelichting op het tricky concept van ‘consent’.

Waarvoor is toestemming nodig?

Onder de Privacyverordening is het verwerken van persoonsgegevens alleen toegestaan als een van de – limitatief voorgeschreven – grondslagen voor verwerking van toepassing is. Toestemming is een van die gronden: degene op wie de persoonsgegevens zien, de betrokkene, geeft dan toestemming voor de verwerking daarvan. Dat lijkt een recht-toe-rechtaan oplossing, maar is dat niet. De toestemming moet namelijk ‘geldig’ zijn, en daar zitten nogal wat haken en ogen aan.

Wanneer is toestemming geldig?

De voorwaarden voor ‘geldige’ toestemming worden opgesomd in artikel 4 Privacyverordening: de toestemming moet (i) vrijwillig; (ii) specifiek; (iii) geïnformeerd; en (iv) ondubbelzinnig kenbaar zijn gemaakt.

(I) Vrijwillig verstrekt

De betrokkene moet een echte keuze hebben tussen het wel en niet geven van toestemming. In sommige omstandigheden is van een echte keuze echter geen sprake, bijvoorbeeld omdat de betrokkene in een afhankelijke positie verkeert.

Bijvoorbeeld: een werknemer zal zich niet snel vrij achten om bezwaar te maken tegen het invullen van evaluatieformulieren of het monitoren van de werkvloer, uit angst dat de werkgever dit tegen hem zal gebruiken. Een werkgever is dan ook vaak aangewezen op een van de andere verwerkingsgronden.

De toestemming voor verwerking mag bovendien niet zijn ‘verpakt’ in de toestemming voor andere doeleinden, bijvoorbeeld het uitvoeren van bepaalde diensten. Dit wordt ook wel ‘bundling consent’ genoemd. Het gaat dan om persoonsgegevens die níet noodzakelijk zijn voor het uitvoeren van een overeenkomst, maar op deze manier onder de noemer van ‘toestemming’ dan toch worden verwerkt. Wil je meer persoonsgegevens verwerken dan nodig onder de overeenkomst, dan moet je daar apart en expliciet toestemming voor vragen. Datzelfde geldt als je dezelfde data voor meerdere doeleinden wilt aanwenden: dan moet de betrokkene voor ieder doel afzonderlijk toestemming geven, en moet het mogelijk zijn om voor het ene doel wel toestemming te geven en voor het andere niet.

Tot slot moet het mogelijk zijn om -eenvoudig, zonder extra kosten of nadeel- de toestemming later weer in te trekken. Het intrekken van toestemming moet bovendien net zo makkelijk zijn als het geven van toestemming.

Bijvoorbeeld: als toestemming kan worden gegeven door een optie aan te vinken op een website, dan is het niet toegestaan dat het intrekken daarvan enkel mogelijk is door middel van een aangetekende brief naar het buitenlandse moederbedrijf.

(II) Specifiek

Toestemming heeft weinig waarde als de betrokkene niet weet waarmee hij instemt. De betrokkene moet dan ook toestemming geven voor een specifiek verwerkingsdoel.

Bijvoorbeeld: een Netflix-gebruiker geeft toestemming voor het genereren van aanbevelingen op Netflix op basis van wat hij in het verleden heeft gekeken. Als Netflix die data vervolgens aan derden wil verstrekken voor het doen van gepersonaliseerde aanbiedingen, moet daar opnieuw toestemming voor worden gevraagd.

(III) Geïnformeerd

De eis dat de betrokkene goed geïnformeerd dient te zijn voordat hij toestemming geeft, hangt hier nauw mee samen. De verantwoordelijke moet de betrokkene alle informatie verschaffen die deze nodig heeft om te beslissen of hij toestemming wil geven. Volgens de WP29 moet in ieder geval  informatie worden verschaft over de identiteit van de verantwoordelijke, het verwerkingsdoel en de persoonsgegevens die worden verzameld.

De Privacyverordening geeft niet aan hoe de betrokkene geïnformeerd moet worden. Wel eist de Privacyverordening dat de informatie op een toegankelijke en begrijpelijke manier wordt gepresenteerd, zodat het voor iedereen, ongeacht zijn of haar achtergrond, duidelijk is waarmee hij of zij instemt. Kortom: je moet de tekst ook kunnen begrijpen als je geen advocaat bent.

(IV) Ondubbelzinnig verklaard

Tot slot moet de betrokkene ondubbelzinnig verklaren dat hij toestemming geeft voor verwerking. Als verantwoordelijke kun je dus niet volstaan met de mededeling dat iemand, door geen bezwaar te maken, met verwerking van zijn persoonsgegevens instemt.

Bijvoorbeeld: een webformulier heeft een hokje waarmee kan worden aangevinkt dat toestemming wordt gegeven voor verwerking. Als dat hokje standaard leeg is, en aangeklikt moet worden om toestemming te geven, dan kan dat als een ondubbelzinnige verklaring worden aangemerkt. Is het hokje al standaard ingevuld, dan kan iemand ‘toestemming’ geven omdat hij simpelweg vergeten is dat hokje uit te vinken. Dat is geen ondubbelzinnige verklaring volgens de Privacyverordening.

Een verantwoordelijke zal dus goed moeten nadenken over de wijze waarop door de organisatie toestemming wordt gevraagd aan betrokkenen, en of dit wel aan de eisen uit de Privacyverordening voldoet.

Geldige toestemming? Toon maar aan

Het hebben van geldige toestemming is niet genoeg. Als verantwoordelijke moet je dit ook desgevraagd kunnen aantonen. Dat betekent dat je moet vastleggen wanneer iemand toestemming heeft gegeven; en hoe dit is gedaan.

 De overgang naar de Privacyverordening

Het is niet nodig om, in de aanloop naar 25 mei 2018, iedere betrokkene opnieuw om toestemming te vragen voor verwerking van zijn persoonsgegevens. Tenminste, mits die toestemming de geldigheidstoets van de Privacyverordening doorstaat. En dat houdt in dat die toestemming wél opnieuw moet worden verkregen als:

  • De organisatie de gegeven toestemming nooit heeft geregistreerd;
  • De toestemming niet ondubbelzinnig was (maar bestond uit het negeren van een vooringevulde optie);
  • De toestemming niet apart is verkregen maar onderdeel uitmaakte van een akkoord voor het leveren van diensten.

Kortom: voor verantwoordelijken die zich verlaten op toestemming, is er werk aan de winkel. De advocaten van Ovidius gaan graag met u om tafel om de beste aanpak voor uw organisatie te bespreken.

Bron: WP29 Guidelines on Consent under Regulation 2016/679