AVG-serie: toestemming

Om persoonsgegevens te mogen verwerken, is een wettelijke grondslag nodig. Een van de wettelijke grondslagen is toestemming van de betrokkene (degene van wie de persoonsgegevens worden verwerkt).

De eisen waaraan toestemming van de betrokkene volgens de aankomende Algemene Verordening Gegevensbescherming (‘AVG’) moet voldoen en de verschillen daarvan ten opzichte van de huidige Wet bescherming persoonsgegevens (‘Wbp’), zullen in dit deel van de AVG-serie worden behandeld.

Toestemming

Onder de Wbp luidt de definitie van toestemming als volgt: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

De AVG stelt strengere eisen aan toestemming dan de Wbp. De definitie van toestemming onder de AVG luidt namelijk als volgt: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

Vanaf 25 mei a.s. moet de toestemming dus niet langer blijken uit alleen een vrije, specifieke en geïnformeerde wilsuiting, maar ook uit een ondubbelzinnige wilsuiting.

Vrij

De betrokkene moet zijn wil in vrijheid kunnen uiten. Dat betekent dat de betrokkene een daadwerkelijke keuze en de controle moet hebben. Dat is niet het geval als de betrokkene zich gedwongen voelt toestemming te verlenen of als de betrokkene nadelige gevolgen zal ondervinden van het niet verlenen van toestemming. Daarvan is bijvoorbeeld sprake als aan het gebruik van een app als voorwaarde wordt gesteld dat wordt ingestemd met verwerking van locatiegegevens, terwijl deze locatiegegevens voor het functioneren van de app helemaal niet nodig zijn.

De Europese toezichthouders benadrukken in de conceptversie van hun beleidsregels (‘concept beleidsregels’) dat het voor overheidsinstanties over het algemeen lastig is om toestemming te verkrijgen die door de betrokkene in vrijheid is geuit, vanwege de ongelijke machtsverhouding die tussen hen bestaat. Wel kan een openbare school een in vrijheid gegeven toestemming van leerlingen verkrijgen voor het gebruik van hun foto’s voor bijvoorbeeld folders of banners, zolang leerlingen niet de toegang tot het onderwijs wordt onthouden als zij niet met de verwerking instemmen.

Specifiek

De betrokkene moet gerichte toestemming kunnen geven. Het moet voor de betrokkene duidelijk en begrijpelijk zijn welke verwerking, van welke gegevens, door welke verwerkingsverantwoordelijke(n), voor welk(e) doeleind(en) zal plaatsvinden en, als daarvan sprake is, aan welke derde(n) persoonsgegevens worden verstrekt.

Geïnformeerd

De betrokkene moet voorafgaand aan het verlenen van toestemming op begrijpelijke en toegankelijke wijze worden geïnformeerd over de verwerking. Daarbij moet de verwerkingsverantwoordelijke rekening houden met de persoon van de betrokkene. Alleen zo is de betrokkene in staat om een weloverwogen beslissing te nemen, te begrijpen waarmee wordt ingestemd en eventueel het recht uit te oefenen om de toestemming op een later moment in te trekken.

De verwerkingsverantwoordelijke moet daarbij duidelijke en eenvoudige taal gebruiken en de informatie op overzichtelijke en toegankelijke wijze schriftelijk, mondeling of digitaal beschikbaar stellen. De Europese toezichthouders hebben in de concept beleidsregels aangegeven dat de betreffende informatie niet mag worden verstopt in algemene voorwaarden. Het is vooralsnog niet duidelijk of dit betekent dat de betreffende informatie in algemene voorwaarden mag worden opgenomen, mits voldoende prominent en onderscheidbaar van andere informatie.

Ondubbelzinnig

Op grond van de Wbp kan de betrokkene een stilzwijgende of impliciete toestemming verlenen. Het is de vraag in hoeverre dat laatste onder de AVG mogelijk blijft. Op grond van de AVG moet namelijk uit het gedrag van de betrokkene ondubbelzinnig blijken dat hij met de verwerking instemt. Daarvoor moet de betrokkene een schriftelijke of mondelinge verklaring geven of een duidelijke actieve handeling verrichten.

Dit betekent dat de verwerkingsverantwoordelijke per 25 mei a.s. geen gebruik mag maken van reeds aangekruiste vakjes en andere zogenaamde opt-out constructies. Deze verlangen namelijk juist een ingrijpen van de betrokkene om het verlenen van toestemming tegen te gaan. Zogenaamde opt-in constructies daarentegen zijn wel toegestaan, zoals het aankruisen of aanklikken van een vakje of een ‘swipe’ over een telefoonscherm. Wel waarschuwen de Europese toezichthouders in de concept beleidsregels voor ‘klikmoeheid’ die op termijn in de digitale context kan ontstaan, waardoor het waarschuwingseffect van opt-in constructies afneemt en toestemmingsverzoeken niet langer daadwerkelijk door de betrokkene worden gelezen.

In de concept beleidsregels hebben de Europese toezichthouders verder opgemerkt dat het akkoord gaan met een overeenkomst of algemene voorwaarden of het scrollen door algemene voorwaarden niet geldt als duidelijke actieve handeling van de betrokkene.

Uitdrukkelijke toestemming

Aan toestemming voor de verwerking van bijzondere persoonsgegevens worden door zowel de Wbp als de AVG zwaardere eisen gesteld dan aan de verwerking van “normale” persoonsgegevens. Naast de bovengenoemde eisen, moet de toestemming van de betrokkene dan namelijk ook uitdrukkelijk zijn.

Uitdrukkelijke toestemming wordt verleend met een expliciete bevestiging van de toestemming door middel van een directe verklaring. Een directe verklaring kan zowel schriftelijk, elektronisch als mondeling worden gegeven. Denk daarbij aan het invullen van een document, het versturen van een e-mail of het uploaden van een gescand document met daarin een verklaring in de trant van “Ik geef toestemming om …”. Ook het aanklikken van een vakje of knop met daarnaast woorden zoals “Met het aanvinken van dit vakje, geeft u toestemming om …” worden beschouwd als directe verklaring.

Waar mogelijk, laat de verwerkingsverantwoordelijke een directe verklaring door de betrokkene ondertekenen, om zo alle eventuele twijfel en gebrek aan bewijs omtrent (het aantonen van) de toestemming in de toekomst weg te nemen. In dat kader kan een mondelinge verklaring overigens wel tot moeilijkheden voor de verwerkingsverantwoordelijke leiden als deze moet aantonen dat aan alle overige eisen aan toestemming is voldaan.

Kinderen

Zowel de Wbp als de AVG bevat specifieke regels ten aanzien van toestemming van kwetsbare groepen, zoals kinderen. De AVG schrijft voor dat bij kinderen jonger dan 16 jaar toestemming moet worden verkregen van zijn of haar wettelijk vertegenwoordiger voor diensten van de informatiemaatschappij, zoals sociale media, online spellen en webwinkels. Daarbij laat de AVG wel enige ruimte aan de lidstaten om de leeftijdsgrens te verlagen naar 13 jaar. Op grond van de Wbp is de leeftijdsgrens echter al 16 jaar, waardoor de Nederlandse wetgever geen reden heeft gezien om de leeftijdsgrens onder de AVG te verlagen.

Aantonen toestemming

Onder de AVG moet de verwerkingsverantwoordelijke aan de nationale toezichthouder – in Nederland de Autoriteit Persoonsgegevens – kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. De AVG biedt vrijheid aan de verwerkingsverantwoordelijke om daarvoor een methode te hanteren die past bij zijn dagelijkse praktijk, voor zover de methode op zichzelf niet leidt tot buitensporige hoeveelheden aan aanvullende verwerkingen.

Intrekken toestemming

Een eenmaal gegeven toestemming kan altijd weer worden ingetrokken door de betrokkene. Op grond van de AVG moet het intrekken van toestemming voor de betrokkene net zo eenvoudig zijn als het geven daarvan en mag dat geen nadelige gevolgen hebben, zoals het moeten betalen van een intrekkingsvergoeding.

Zodra toestemming wordt ingetrokken, mogen persoonsgegevens niet langer op basis daarvan worden verwerkt. Intrekking van toestemming tast overigens niet de rechtmatigheid aan van verwerkingen die op basis van toestemming hebben plaatsgevonden voorafgaand aan de intrekking daarvan.

Meer weten?

Wilt u meer weten over het vragen van toestemming? Wilt u weten of reeds verkregen toestemming geldig blijft onder de AVG? Of heeft u andere vragen over de AVG?

Neem dan contact op met Huub de Jong of Tom de Wit.