De Algemene verordening gegevensbescherming (AVG) treedt op 25 mei 2018 in werking. Door de verordening zal er een hoop veranderen op het gebied van gegevensbescherming. Om het pakket aan veranderingen wat inzichtelijker te maken, lichten wij regelmatig een onderwerp uit dat met de komst van de verordening zal gaan veranderen. Deze keer: toestemming als grondslag voor gegevensverwerking.
Om persoonsgegevens te verwerken is (onder andere) een wettelijke grondslag vereist. Volgens artikel 8 sub a van de Wet bescherming persoonsgegevens (Wbp) is toestemming van de betrokkene één van die grondslagen. Volgens artikel 1 sub i van de Wbp moet toestemming worden uitgelegd als:
“elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”
De Wbp hanteert twee vormen van het toestemmingsbegrip. Allereerst wordt als algemene grond voor gegevensverwerking de ondubbelzinnige toestemming van de betrokkene aanvaard. Bij ondubbelzinnige toestemming is vereist dat elke twijfel moet zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerking deze toestemming is gegeven.
Voor het verwerken van bijzondere persoonsgegevens, zoals gegevens over iemands godsdienst of gezondheid, is echter uitdrukkelijke toestemming vereist. Dit is een verzwaarde vorm van toestemming. De betrokkene moet in woord, schrift of gedrag uitdrukking hebben gegeven aan zijn wil om toestemming te verlenen voor het verwerken van zijn bijzondere persoonsgegevens. Een stilzwijgende of impliciete toestemming is daarvoor niet genoeg.
In de AVG worden strengere eisen gesteld aan het verkrijgen van geldige toestemming als algemene grond voor gegevensverwerking. Zo wordt toestemming in overweging 32 van de AVG als volgt uitgelegd:
“Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt”
De verordening vereist dat er bij toestemming sprake moet zijn van een verklaring of een duidelijke actieve handeling. Het is gezien deze formulering de vraag in hoeverre impliciete of stilzwijgende toestemming nog mogelijk is onder de AVG. Het zal in ieder geval minder eenvoudig worden om een beroep op impliciete toestemming te doen. De drempel voor het verkrijgen van geldige toestemming is daarmee hoger geworden.
De AGV haalt ter verduidelijking enkele omstandigheden aan wanneer er géén sprake is van geldige toestemming. Zo wordt als voorbeeld gegeven dat zwijgen, een pre-ticked box of inactiviteit niet volstaan.
Verder is in de AVG een apart artikel opgenomen waarin wordt bepaald aan welke voorwaarden een geldige toestemming moet voldoen (artikel 7 AVG). Er wordt benadrukt dat de toestemming in begrijpelijke en gemakkelijk toegankelijk vorm en in duidelijke en eenvoudige taal moet zijn opgesteld. Ook moet het intrekken van de toestemming even eenvoudig zijn als het geven er van.
Interessant is verder hetgeen dat wordt bepaald omtrent het vrijelijk geven van informatie. Artikel 7 lid 4 bepaalt dat bij de beoordeling of toestemming vrijelijk is gegeven, onder meer ten sterkste rekening moet worden gehouden met de vraag of de persoonsgegevens die in het kader van toestemming moeten worden verstrekt ook noodzakelijk zijn voor het uitvoeren van de overeenkomst. Oftewel, kan er alleen gebruik gemaakt worden van een dienst na het verplicht verstrekken van een aantal gegevens die niet allemaal nodig zijn voor het aanbieden van de dienst?
Artikel 7 lid 4 bevat geen verbod om door middel van het verkrijgen van toestemming meer persoonsgegevens te verzamelen dan noodzakelijk is voor een dienst. Wel dient er ten sterkste rekening mee gehouden te worden gehouden in de bepaling of van vrijelijk gegeven toestemming sprake is. In de praktijk zou dit betekenen dat voor verschillende type persoonsgegevens apart toestemming verleend moet worden. Het is afwachten op welke wijze dit artikellid precies uitgelegd zal worden.
De huidige Wbp kent ook een bepaling die betrekking heeft op het verwerken van persoonsgegevens van kinderen. Tot 16 jaar alleen met toestemming ouders. Dit uitgangspunt wordt in de AVG aangescherpt. Artikel 8 bepaalt namelijk dat de verantwoordelijke gehouden is een redelijke inspanning te leveren om te verifiëren dat toestemming is gegeven, dan wel is geautoriseerd door de ouder of voogd.
Met dank aan Jules van Engelen