Eén van de redenen waarom persoonsgegevens mogen worden verwerkt, is toestemming. Aan welke criteria moet toestemming voldoen om rechtsgeldig te zijn onder de Algemene Verordening Gegevensbescherming (AVG)?
Vier criteria
Uit de definitie van toestemming in artikel 4.11 van de AVG blijkt dat toestemming aan vier criteria moet voldoen. Toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. In het vereiste dat toestemming specifiek moet zijn, werkt het beginsel van doelbinding uit artikel 5 van de AVG door. Zie daarvoor de eerdere blog over de beginselen van de AVG.
Wat betekenen de verschillende vereisten voor toestemming?
Toestemming is vrij
Dat toestemming in vrijheid is gegeven, betekent dat iemand niet onder druk gezet moet zijn om toestemming te geven. Daarbij speelt bijvoorbeeld een rol of sprake is van een machtsverhouding. Daarvan is zeker sprake bij de verhouding van een werkgever en een werknemer. Een werknemer is afhankelijk van zijn werkgever. Daarom zal niet snel worden aangenomen dat een werknemer in vrijheid persoonsgegevens aan zijn werkgever afstaat. Dit betekent dat in een arbeidsverhouding ‘toestemming’ in de zin van de AVG eigenlijk niet mogelijk is.
Toestemming is specifiek
Toestemming moet ook specifiek zijn. Dit betekent dat toestemming gegeven moet worden met het oog op de verwerking van persoonsgegevens voor een specifiek doel. Wanneer persoonsgegevens voor meerdere doeleinden worden verwerkt, moet de persoon in kwestie informatie krijgen over de verschillende doelen waarvoor toestemming wordt gevraagd. Wanneer u bijvoorbeeld via internet zaken verkoopt, heeft u adresgegevens van de klant nodig om de bestelling bij de klant te kunnen leveren. De reden waarom u die persoonsgegevens vervolgens verwerkt, is uitvoering van de overeenkomst (artikel 6.1b AVG). Maar wanneer u de adresgegevens vervolgens ook wilt gebruiken voor marketingactiviteiten, dient u de klant daarover vooraf duidelijk te informeren. Zodat de klant op basis van juiste en volledige informatie toestemming kan geven. Let er overigens op dat in dit voorbeeld twee gronden voor toestemming aan de orde zijn. De eerste is uitvoering van een overeenkomst, namelijk uitvoering van de koopovereenkomst via internet. De tweede is toestemming (artikel 6.1a AVG). Er is dus een samenloop van twee zogenaamde verwerkingsgronden.
Toestemming en overeenkomst
Artikel 7.4 van de AVG steekt verder een stokje voor een truc die men zou kunnen toepassen. Iemand zou op het idee kunnen komen om in het kader van een overeenkomst wat meer persoonsgegevens op te vragen dan nodig is voor de uitvoering van die overeenkomst. Artikel 7.4 van de AVG voorkomt dit. Want daar staat dat bij de beoordeling van de vraag of toestemming vrijelijk kan worden gegeven ‘ten sterkste’ rekening wordt gehouden met de vraag of voor de uitvoering van een overeenkomst toestemming is vereist voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Met andere woorden: er wordt scherp op gelet of de persoonsgegevens die een bedrijf of organisatie vraagt in het kader van de uitvoering van een overeenkomst, ook echt daarvoor nodig zijn. Wanneer dat niet het geval blijkt, moet voor de verwerking van de persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst, toestemming worden gevraagd. Ontbreekt die toestemming, is de verwerking onrechtmatig. Wanneer u wilt dat uw bedrijf of organisatie zich goed voorbereidt op de AVG doet u er goed aan de volgende vraag te stellen. Zijn alle persoonsgegevens die mijn bedrijf of organisatie opvraagt voor de uitvoering van een overeenkomst ook werkelijk nodig? Zo voorkomt u dat straks wellicht sprake is van onrechtmatige verwerking van persoonsgegevens door uw bedrijf of organisatie.
Toestemming is ‘geïnformeerd’
Toestemming moet verder ‘geïnformeerd’ zijn. Dit betekent dat helder moet zijn wat de identiteit van de organisatie is. En ook, voor welk doel u toestemming vraagt om persoonsgegevens te verwerken. Als u voor meerdere doelen toestemming vraagt, moet u die verschillende doelen concreet omschrijven. Verder moet u informeren over welke persoonsgegevens u verzamelt en gebruikt. Ook moet u melden dat mensen het recht hebben om eerder verleende toestemming weer in te trekken. In artikel 7 van de AVG is verder uitgewerkt aan welke vereisten rechtsgeldige toestemming moet voldoen. Daarin staat onder meer dat toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal gevraagd moet worden. En op zo’n manier, dat duidelijk onderscheid wordt gemaakt met andere onderwerpen. De bedoeling is dat mensen een duidelijke en weloverwogen keuze kunnen maken.
Toestemming is ondubbelzinnig
Tenslotte moet toestemming ondubbelzinnig zijn. Dat wil zeggen dat de toestemming blijkt uit een actieve handeling. Toestemming op de manier van ‘wie zwijgt, stemt toe’ kan niet door de beugel. Een schriftelijke of mondelinge verklaring is vereist. Bij mondeling verleende toestemming is het uiteraard aan te raden die toestemming schriftelijk vast te leggen. Anders kan men later niet voldoen aan de verantwoordingsplicht (zie volgende kopje. Wat ook niet is toegestaan, is bij toestemming via internet een aangevinkte toestemming voor te houden. Dan kan de betreffende persoon immers niet met een ‘actieve handeling’ toestemming geven. En dat is wel wat artikel 4.11 AVG onder toestemming verstaat.
Verantwoordingsplicht
Wie op grond van toestemming persoonsgegevens verwerkt, moet altijd kunnen aantonen dat die toestemming op de juiste manier gevraagd en gegeven werd. Dit vloeit voort uit artikel 7.1 van de AVG. Dat u kunt aantonen dat toestemming werd gegeven, is dus niet genoeg. U moet ook kunnen laten zien dat u de mensen juist en volledig informeerde.
Toestemming bij kinderen jonger dan zestien jaar
Verder eist artikel 8.1 AVG dat bij kinderen jonger dan zestien jaar de ouder of verantwoordelijke voor het kind, toestemming verleent voor de verwerking van de persoonsgegevens van het kind. Artikel 8.2 AVG eist verder dat het bedrijf of de instantie die de persoonsgegevens verwerkt, redelijke inspanningen verricht om er achter te komen of het kind inderdaad toestemming kreeg om persoonsgegevens af te staan, of gemachtigd werd om toestemming te geven.
Intrekken toestemming
Op grond van artikel 7.3 AVG kan iemand een verleende toestemming altijd weer intrekken. De verwerking van persoonsgegevens die daarvoor op basis van de ingetrokken toestemming plaats vond, blijft rechtsgeldig. Daarover moet degene die toestemming gaf wel vooraf geïnformeerd zijn. Het moet dus een onderdeel zijn van de informatieverstrekking aan de betreffende persoon. Verder moet het intrekken van toestemming net zo gemakkelijk zijn als het verlenen daarvan.
Slot
Wilt u meer weten over wat de AVG betekent voor u, uw bedrijf of organisatie? Neem dan contact op en bel naar 06-338 24 563. Of stuur een e-mail aan info@groenenboomadvocaat.nl. Wij helpen u graag!