Voor sommige verwerkingen van persoonsgegevens is toestemming nodig van de betrokken personen. Ondanks alle goede bedoelingen gaat dat niet altijd zoals het moet. In de blog “Toestemming vragen volgens AVG, valt niet mee” heb ik uitgelegd wat daar zoal bij komt kijken. In deze blog licht ik een aantal praktijkvoorbeelden door aan de hand van de voorwaarden die aan toestemming worden gesteld.

Je kent ze wel, die e-mails van allerlei partijen die je vragen om toestemming te geven om jouw gegevens te gebruiken, bv. om nieuwsbrieven te sturen. De invoering van de Algemene Verordening Gegevensbescherming (AVG) heeft deze storm veroorzaakt. Wie verantwoordelijk is voor de aangereikte persoonsgegevens moet in sommige gevallen expliciet om toestemming vragen om ze te mogen gebruiken.

Zowel degene die verantwoordelijk is voor de verkregen persoonsgegevens (de “verwerkingsverantwoordelijke”) als de persoon wiens gegevens worden verwerkt (de “betrokkene”) kan van alles vinden van die vragen om toestemming. Wat voor de een heel prettig is, kan de ander juist heel vervelend vinden, en omgekeerd. Tel daarbij op dat er nog onvoldoende jurisprudentie is die scherpe grenzen trekt, en het feest kan beginnen.

In deze blog laat ik zien dat je met gezond verstand en zorgvuldig lezen van de AVG een heel eind komt.

Hoe het moet

Aan het vragen van toestemming stelt de “European Data Protection Board” (EDPB) expliciete voorwaarden om geldig te zijn. In mijn vorige blog heb ik die uitgebreid toegelicht. Hier herhaal ik ze in het kort:

  1. De toestemming wordt in vrijheid gegeven
  2. De toestemming is specifiek
  3. De betrokkene wordt goed geïnformeerd
  4. De toestemming is ondubbelzinnig

Hoe het soms misgaat

Ondanks alle goede bedoelingen en verwijzingen naar de AVG, kun je je bij veel toestemmingsvragen afvragen of die wel voldoen aan de voorwaarden.

1. Vrijheid

Aan voorwaarde 1 wordt niet voldaan als bv. een werkgever aan een nieuwe medewerker toestemming vraagt om bepaalde persoonsgegevens te gebruiken. Op basis van de AVG lijkt het onmogelijk om in zo’n relatie om toestemming te vragen vanwege de machtsverhouding die hier speelt.

Voorbeeld:
“Mag je foto in het smoelenboek op het intranet geplaatst worden?
Door op akkoord te klikken geef ik toestemming.”
[ klik op ] Akkoord”

Als nieuwe medewerker voel je een zekere druk. Niet iedereen zal het aandurven om geen akkoord te geven. Mogen smoelenboeken dan voortaan niet meer? De oplossing ligt waarschijnlijk in de moeite die de werkgever steekt in uitgebreide informatie over (het uitblijven van) consequenties bij niet akkoord gaan. Dan ligt het voor de hand om ook een knop “Niet akkoord” aan te bieden. Zie ook verderop onder “Goed geïnformeerd”. Al met al blijft de werkgever-werknemer-relatie problematisch voor toestemming geven.

2. Specifiek

Aan deze wordt niet voldaan als het niet duidelijk is waarvoor je toestemming geeft, of als de formulering te algemeen is.

Voorbeeld:
Uit de praktijk: “[…] ontvangen we graag een mail retour met het volgende: Ik geef hierbij **** toestemming om mijn persoonsgegevens te verwerken en te delen ten einde dit voldoet aan de voorwaarden benoemd in het Privacy Beleid van ****.”

Deze zin is krom en incompleet. Om welke verwerking het gaat en met welk doel is niet gespecificeerd in de toestemmingstekst. Ik kom er niet achter hoe deze partij met mijn toestemming om zal gaan.

3. Goed geïnformeerd

Aan deze voorwaarde wordt niet voldaan als de verwerker verwijst naar documentatie die onvoldoende begrijpelijk is (bv. door juridisch of ander jargon, erg lange tekst, moeilijke zinsconstructies) of die niet voldoende duidelijk maakt wat de betreffende verwerking inhoudt.

Voorbeeld:
Uit de praktijk: “Wij verwerken uw gegevens met de grootst mogelijke zorgvuldigheid. […] Voor verdere informatie omtrent ons Privacy Beleid verwijzen wij u naar onze website. [Klik op] Akkoord

Deze partij heeft geen enkele moeite gedaan om mij informatie te geven waarop ik mijn beslissing over toestemming kan baseren. Dat ik nergens kan vinden wat de implicaties zijn van mijn toestemming zit mij niet lekker.

Voorbeeld:
Een nieuwsbrief zonder optie om uit te schrijven (“unsubscribe”); een uitschrijfoptie waarbij te veel handelingen nodig zijn, of waarbij meteen allerlei andere opties ook verdwijnen. Ook een verwijzing naar “de website” om je uit te schrijven is onvoldoende.

Hoe toestemming kan worden ingetrokken moet goed beschreven en zo eenvoudig mogelijk zijn. Maar wat is goed en eenvoudig genoeg? Daar kun je over twisten.

4. Ondubbelzinnig

Aan deze voorwaarde wordt niet voldaan als degene die om toestemming vraagt een antwoord terugkrijgt dat op meerdere manieren kan worden geïnterpreteerd.

Voorbeeld:
Mondeling (bv. telefonisch) akkoord geven op een weinig specifieke vraag voldoet niet. Merk op dat vastlegging in zo’n geval ook problematisch is. Wil je een geluidsopname maken, dan moet je eerst daarvoor toestemming vragen.

Stel je een slechte vraag, dan krijg je een slecht antwoord. En kun je dus niet kan aantonen wie waarvoor toestemming heeft gegeven. Het voorbeeld onder de kop “Specifiek” heeft daar ook last van.

In het volgende voorbeeld probeert een fanclub te veel zaken tegelijk te regelen, waardoor die uit de bocht vliegt.

Voorbeeld:
Uit de praktijk: “Wil je per e-mail op de hoogte gehouden worden van het laatste wedstrijdnieuws en speciale aanbiedingen van ****? Geef dan hieronder jouw e-mailvoorkeuren aan.
Voornaam: ___  Tussenvoegsel: ___  Achternaam: ___  Geslacht: ___
E-mailadres: ___  Geboortedatum: ___
E-mailvoorkeuren:
O Kaartverkoopinformatie
O Algemene informatie
O Aanbiedingen **** Fanshop
O **** Nieuwsbrief
O Overige persoonlijke aanbiedingen
O Aanbiedingen partners van ****
[klik op] VERDER”

Ik moet mijn persoonsgegevens al prijsgegeven voordat ik weet hoe het bedrijf daar mee omgaat. De fanclub stuurt me een e-mail om mijn aanmelding te bevestigen, maar ook daarin ontbreekt ieder spoor naar een privacystatement of verwerkingen. In dit geval kunnen mijn gegevens ook nog eens kunnen worden gedeeld met derden als ik “Aanbiedingen partners” hebt aangevinkt. Wie dat zijn, welke gegevens met hun worden gedeeld, wat ze gaan doen en welke risico’s ik daar mogelijk mee loop wordt niet vermeld.

Nog een complicatie is dat wellicht kinderen (jonger dan 16 jaar) zich willen aanmelden. In dat geval is meer nodig. De persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, moet betrokken worden bij de toestemming. Niets wijst erop dat dit hier gebeurt.

Ook vraag ik me af waarom ik word verplicht om zo veel persoonsgegevens in te vullen. Ik krijg de indruk dat ik de controle volledig kwijt ben als ik “Verder” ga.

Goede voorbeelden

Gelukkig is het niet enkel kommer en kwel. Er zijn ook partijen die helder en zuiver communiceren.

Voorbeeld:
“**** plaatst Functionele cookies, om deze website naar behoren te laten functioneren en Analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens. Geef hieronder uw toestemming voor cookies die wel persoonsgegevens verwerken.

( V )      ( X )      Ik wil Sociale Media koppelingen:

hiermee staat het plaatsen van cookies door social medianetwerken toe, deze netwerken kunnen u volgen en uw internetgedrag gebruiken voor andere doeleinden

( V )      ( X )      Ik wil gepersonaliseerde advertenties:

hiermee ontvangt u gepersonaliseerde ****-advertenties die worden afgestemd op uw internetgedrag. Via deze cookies kan je internetgedrag gevolgd worden door advertentienetwerken.

[ klik op ] Opslaan

Veel duidelijker en transparanter kan bijna niet.

Ook zijn er partijen die goede voorbeelden geven en adviseren wat je wel en niet moet doen. Zoek maar eens op “toestemming vragen AVG”. Let er wel op dat in sommige artikelen de wet en de interpretatie van de wet door elkaar lopen.

Waar staan we nu?

Het lijkt me duidelijk dat de kinderziekten er nog niet uit zijn. Het valt ook niet mee om de wet te doorgronden. Hopelijk komt er snel jurisprudentie en volgen concrete richtlijnen.

Een schrale troost misschien, maar ook de Autoriteit Persoonsgegevens zelf lijkt er niet helemaal uit te komen bij het aanmelden voor haar nieuwsbrief, waarvoor zij verwerkingsverantwoordelijke is.

Voorbeeld:
“Op de nieuwsbrief is het Privacystatement Nieuwsbrief van de Autoriteit Persoonsgegevens van toepassing.
[   ]  Ja, ik heb kennis genomen van het privacybeleid van de Autoriteit Persoonsgegevens en geef uitdrukkelijk toestemming voor het verwerken van mijn e-mailadres om de nieuwsbrief te kunnen ontvangen.
E-mailadres: ____

[ klik op ] Aanmelden

Om de nieuwsbrief te krijgen moet ik kennis nemen van het “privacybeleid”, terwijl het “Privacystatement Nieuwsbrief” van toepassing is. Dat is verwarrend. Dat privacybeleid blijkt vervolgens geen beleid te zijn maar een kapstok voor meerdere privacystatements. Ik geloof trouwens dat er geen noodzaak is voor die verplichte “vink”. Zelfs niet voor “actieve handeling”, want die zit al in het invoeren van het e-mailadres en drukken op de knop “Aanmelden”. Hoe ik mij kan afmelden wordt niet verteld. Dat blijkt wel te kunnen maar zit weer ergens heel anders. In de bevestiging van aanmelding staat het gelukkig wel. Goed bewaren dat bericht. Dat moet toch met weinig moeite veel beter kunnen, zeker als je een voorbeeldfunctie hebt zoals de Autoriteit Persoonsgegevens.

Komt het nog goed?

Door met z’n allen aandacht te besteden aan  goede toestemmingsvragen en kritisch te zijn op wat er beter kan of moet, helpen we elkaar. De tijd zal leren welke vormen van toestemming vragen het beste voldoen.

In veel gevallen is toestemming vragen gelukkig niet nodig, namelijk als er al een bepaalde “grondslag” is voor die verwerking. Een overzicht van mogelijke grondslagen vind je op de website van de Autoriteit Persoonsgegevens (zoek naar “mag u persoonsgegevens verwerken”). Als je het vragen om toestemming kunt vermijden, zou ik dat zeker doen.

Erik is een expert op het gebied van informatiebeveiliging, privacy en risico-management. Hij heeft vele projecten gedaan op het gebied van informatiebeveiliging, IT-infrastructuur, risico-management, identity & access management en business continuity, waarbij hij de rol speelde van consultant, expert, auditor, projectleider, en security officer.