Onder de nieuwe Europese privacywet – de Algemene Verordening Gegevensbescherming of AVG – gelden strenge regels voor de omgang met persoonsgegevens. Een belangrijke eis bij het voldoen aan die regels is een grondslag te hebben voor de verwerking. De bekendste – maar niet de enige – grondslag is de toestemming. Met toestemming mag er veel, maar hoe krijg je toestemming?
Met een juridische mond vol is toestemming “iedere vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt”. In de praktijk betekent dit dat aan toestemming de volgende eisen worden gesteld:
- Toestemming moet vrijwillig zijn. Dit betekent met name dat men moet kunnen weigeren toestemming te geven, en dat dat geen gevolgen mag hebben.
- Toestemming moet specifiek zijn. De vraag moet in eenvoudige en duidelijke taal (Europees Taalniveau B2) gesteld worden, en mag niet verstopt zijn in een lap tekst zoals algemene voorwaarden of een privacyverklaring. De toestemmingsvraag moet daarnaast gescheiden zijn van andere vragen.
- De betrokkene moet geïnformeerd zijn. De organisatie die toestemming vraagt, moet uitleggen wat er gaat gebeuren en op welke manier, wederom in eenvoudige en duidelijke taal.
- Toestemming moet ondubbelzinnig zijn. Er mag dus geen twijfel zijn dat men bedoelde toestemming te geven voor het gebruik van persoonsgegevens.
De bewijslast dat toestemming is gegeven, berust bij de organisatie. Het is dus zeer verstandig te documenteren hoe toestemming wordt gevraagd, of zelfs om de specifieke ingevulde formulieren of andere objecten waar de toestemming op gegeven wordt te bewaren. Documenteer de toestemmingsvraag (dus de letterlijke tekst en een screenshot van de context) in het verwerkingsregister (hier komen we maandag op terug), zodat u achteraf kunt laten zien waarom deze verwerking onder legaal gegeven toestemming gebeurt.
Toestemming kunt u het beste als specifieke vraag (“Wilt u”) formuleren of als een concrete uitspraak waar men ja of nee op kan zeggen (“Ik wil graag”). Specifiek bij e-mailnieuwsbrieven en -reclame wordt vaak gewerkt met ‘double opt-in’ en ‘confirmed opt-in’. Bij een confirmed opt-in ontvangt de betrokkene een bevestiging van de inschrijving in zijn mailbox zodat hij deze ongedaan kan maken; bij een double opt-in ontvangt hij een bericht met het verzoek de inschrijving nogmaals te bevestigen. De AVG zegt niet letterlijk welke vorm u moet gebruiken, maar werken met double opt-in is wel bewijstechnisch het beste.
Een paar voorbeelden van een rechtsgeldige toestemming:
- “Ik wil graag de wekelijkse nieuwsbrief van JuriBlox ontvangen.” Dit is vrijwillig, het taalgebruik is duidelijk en iedereen weet wat een nieuwsbrief is. Eventueel kan in de privacyverklaring worden toegelicht wat de inhoud van de nieuwsbrief is. Ook kan er geen twijfel bestaan dat men wil dat naar dit mailadres die nieuwsbrief wordt gestuurd.
- “Ik wil graag gebeld worden over een hypotheekadvies.” Ook dit is concreet, vrijwillig en duidelijk. Uiteraard mag deze persoon niet worden gebeld over een ander financieel product, want dat valt buiten de specifieke vraag.
- “Wij houden bij hoe u onze webwinkel gebruikt en sorteren producten vervolgens zodanig dat de meest interessante voor u bovenaan staan. Wilt u dat?” Deze toestemmingsvraag legt in duidelijke taal uit wat de webwinkel doet en vraagt specifiek of de klant daarmee akkoord is.
Een paar voorbeelden van onjuiste toestemming:
- “Ik ga akkoord met de voorwaarden en wil tevens de wekelijkse nieuwsbrief van JuriBlox ontvangen”. Hoewel het nieuwsbrief-stuk van deze vraag op zich in orde is, is de vraag samengenomen met een andere kwestie en daarom niet rechtsgeldig.
- “Mogen onze financiële partners u bellen over een hypotheekadvies?” Deze toestemmingsvraag is niet specifiek, want er is niet duidelijk om welke partijen het gaat.
- “Persoonsgegevens betreffende uw bezoekgedrag worden uitsluitend met toestemming verwerkt met het oog op optimalisatie van uw gebruikservaring. Gaat u hiermee akkoord?” Deze toestemmingsvraag gebruikt moeilijk jargon en voldoet dus niet aan de eis van eenvoudige en duidelijke taal.
Belangrijk is wel u te realiseren dat toestemming te allen tijde intrekbaar is. Dit moet net zo eenvoudig kunnen als het geven van de toestemming. Vanaf dat moment moet de verwerking direct stoppen. U mag dus geen kunstmatige vertraging (“Uw afmelding wordt binnen 48 uur administratief verwerkt”) meer inbouwen in het proces.
Toestemming is overigens niet de enige manier om iemands persoonsgegevens te gebruiken. Bent u wettelijk verplicht iemands gegevens ergens voor te gebruiken, dan mag dat natuurlijk van de AVG. Wanneer u een overeenkomst (contract) met iemand heeft, of bezig bent dit te sluiten, is alles toegestaan dat daarvoor noodzakelijk is (hierover morgen meer). En de wet noemt ook nog de grond van het eigen gerechtvaardigd belang, dat we donderdag behandelen.
Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.