Schrijf je in voor de nieuwsbrief en volg ons op Twitter en LinkedIn

Misverstand 7: Toestemming

Ja, ik wil. Wie in Zweden seks met iemand wil hebben, heeft vanaf 1 juli daarvoor nadrukkelijke toestemming nodig. Vrijen zonder een expliciet ja, ik wil, kan dan reden worden voor een veroordeling. Iets minder sexy… maar hoe zit dat bij de verwerking van persoonsgegevens? Is daar ook altijd voorafgaande toestemming voor nodig?

Nee. In tegenstelling tot wat vaak wordt gedacht, is er voor het verwerken van persoonsgegevens niet altijd toestemming nodig. Toestemming is slechts één van de zes grondslagen voor een rechtmatige verwerking. (Zie voor meer informatie over grondslagen de blog over convenanten.) Een verwerking kan dus op de grondslag toestemming zijn gebaseerd, maar het kan ook dat de verwerking op een andere grondslag is gebaseerd.

Ja, ik wil… dat u mijn persoonsgegevens verwerkt.

Toestemming is een vrije, specifieke, geïnformeerde en ondubbelzinnige uiting van de wens van de betrokkene dat zijn persoonsgegevens verwerkt gaan worden. Deze uiting moet gedaan worden door middel van een verklaring of een ondubbelzinnige actieve handeling.

Vrij

Vrij betekent dat de betrokkene ook de keus moet hebben om zijn toestemming te weigeren, zonder dat hier mogelijk negatieve gevolgen aan verbonden zijn. In situaties waarin een overheidsinstantie aan een burger om toestemming vraagt, of een werkgever aan zijn werknemer, is er sprake van een afhankelijkheidsrelatie. Dit is een situatie waarin de burger of werknemer niet altijd vrijelijk kan kiezen. Daarom kan in zulke situaties de verwerking niet op de grondslag van toestemming worden gebaseerd. Dit is hetzelfde wanneer de uitvoering van een overeenkomst afhankelijk wordt gemaakt van toestemming voor een andere verwerking die niet noodzakelijk is voor de uitvoering van de overeenkomst. Bijvoorbeeld: uw energieleverancier vraagt toestemming om uw persoonsgegevens te gebruiken voor marketingonderzoek. Als u weigert wordt de prijs van uw energie verhoogd. In dat geval is uw keuze om wel of geen toestemming te geven niet vrij.

Specifiek en geïnformeerd

Toestemming moet niet alleen vrijelijk gegeven worden. Ook moet het voor de betrokkene helemaal duidelijk zijn waarmee hij toestemt. Dit betekent dat de verwerkingsverantwoordelijke goed moet uitleggen voor welk doel hij de persoonsgegevens gaat verwerken. Het is een misverstand dat je na het verkrijgen van toestemming alles mag doen met de verkregen persoonsgegevens. Want toestemming wordt verkregen voor één specifiek doel! Wil je nieuwe dingen doen met de persoonsgegevens (nieuw doel), dan heb je een nieuwe grondslag voor de verwerking nodig.

Ondubbelzinnig

Tot slot moet de toestemming ondubbelzinnig zijn. Dit betekent dat het 100% duidelijk is dat de betrokkene toestemming heeft gegeven. Dit kan blijken uit een actieve handeling van de betrokkene. Een vooraf aangevinkt vakje is geen ondubbelzinnige toestemming. Het kan namelijk zijn dat de betrokkene het vakje over het hoofd heeft gezien. Je zal dus nooit met zekerheid weten of de betrokkene echt heeft willen toestemmen.
Voor het verwerken van bijzondere categorieën persoonsgegevens geldt nog een hogere drempel: de betrokkene moet uitdrukkelijke toestemming geven. Dit vereist een handeling die specifiek gericht is op het geven van toestemming. Bijvoorbeeld een handtekening zetten onder de tekst: “Hierbij geef ik toestemming voor het verwerken van mijn genetische gegevens.”
Kinderen onder de 16 kunnen geen toestemming geven voor verwerking van hun gegevens voor internetdiensten. Hiervoor is de toestemming van hun ouders vereist.

Verantwoording

Van de verwerkingen die de verwerkingsverantwoordelijke doet op basis van toestemming, moet hij deze toestemming vastleggen (zodat hij dit eventueel kan tonen aan de Autoriteit Persoonsgegevens). Dit kan bijvoorbeeld door een getekend formulier te bewaren. Maar steeds vaker wordt er toestemming gegeven d.m.v. een vinkje in een hokje. In dat geval volstaat het om aan te kunnen tonen dat de website zó werkte dat gegevens alleen verwerkt kunnen worden nadat toestemming is gegeven.

Heeft u vragen over toestemming in uw organisatie? Neem dan gerust contact met ons op.

Author image
Menno Loos
Adviseur bij Privacy Company


Dit vind je misschien ook interessant: