Toestemming als grondslag voor gegevensverwerking

Bij veel organisaties is toestemming een veelgebruikte grondslag voor het verwerken van persoonsgegevens. Ook met ingang van de privacyverordening is toestemming één van de mogelijke grondslagen om persoonsgegevens te mogen verwerken, maar de voorwaarden om toestemming te geven zijn veranderd. De belangrijkste wijzigingen worden in deze blogpost behandeld. Deze wijzigingen zijn ook van belang als jouw organisatie gebruik maakt van toestemming voor gegevensverwerking, want je hebt nog minder dan twee jaar de tijd om te voldoen aan de eisen die worden gesteld.

1) Vraag om toestemming met een actieve handeling

Toestemming kan in de Wet bescherming persoonsgegevens (Wbp) bestaan uit een impliciete wilsuiting, zoals een vooringevuld hokje in een webformulier. Met de komst van de privacyverordening is dit verleden tijd: de verordening bepaalt namelijk dat toestemming altijd een actieve handeling moet zijn. Dat kan bijvoorbeeld door het aanvinken van een hokje, het selecteren van bepaalde technische instellingen of andere actieve handelingen of verklaringen. Het is niet meer toegestaan om vooringevulde hokjes of inactiviteit te gebruiken om toestemming te vragen. Dat betekent overigens niet dat er altijd hokjes moeten worden aangevinkt of handtekeningen moeten worden gezet. Verstuur je bijvoorbeeld een nieuwsbrief, dan is het invullen van een naam en een e-mailadres ook een actieve handeling en daarmee een vorm van ondubbelzinnige toestemming.

2) Registreer de toestemming

De privacyverordening bepaalt dat organisaties moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens. Om dit aan te kunnen tonen is het van belang dat deze toestemming wordt geregistreerd, dit kan zowel op papier of digitaal gedaan worden. Deze plicht geldt overigens ook al onder de Wbp, maar is straks wettelijk vastgelegd in de nieuwe verordening.

3) Vraag om toestemming los van andere aangelegenheden

Toestemming wordt voor allerlei soorten doelen gebruikt, zoals gebruikersvoorwaarden, leveringsvoorwaarden, gedragscodes en inschrijving voor een nieuwsbrief. De verordening verplicht organisaties om de toestemming voor het verwerken van persoonsgegevens apart van andere aangelegenheden te vragen. Ook moet toestemming in ‘gewonemensentaal’ worden gevraagd.

4) Vraag om toestemming van ouders bij gegevens van kinderen

In de verordening moeten zogenaamde ‘diensten van de informatiemaatschappij’ voor het verwerken van persoonsgegevens van kinderen toestemming aan de ouders vragen (als toestemming de grondslag is voor het verwerken van persoonsgegevens). Voorbeelden van diensten van de informatiemaatschappij zijn webwinkels, zoekmachines, sociale media en allerlei andere internetdiensten. Deze toestemming van ouders moet worden gevraagd bij kinderen jonger dan 16, maar lidstaten kunnen de leeftijdsgrens verlagen tot een leeftijdsgrens onder de 13 jaar. Welke leeftijdsgrens Nederland zal hanteren is nog niet duidelijk.

De verordening eist daarnaast dat er ‘redelijke inspanningen’ moeten worden gedaan om te controleren of de ouders de toestemming hebben verleend. Welke inspanningen ‘redelijk’ zijn, zal waarschijnlijk afhangen van de soort gegevensverwerking en de gevoeligheid van de gegevens. Bij privacygevoeligere gegevensverwerkingen moeten dus meer stappen worden ondernomen om te controleren of de ouders daadwerkelijk toestemming hebben gegeven.

5) Het intrekken van toestemming moet eenvoudig zijn

Nieuw in de privacyverordening is de verplichting om mensen te wijzen op hun recht om de gegeven toestemming in te trekken vóórdat zij hun toestemming geven. Bovendien moet het intrekken van toestemming net zo gemakkelijk zijn voor de betrokkene als het geven ervan. Bijvoorbeeld wanneer toestemming digitaal is verleend moet het ook mogelijk zijn deze toestemming digitaal in te trekken en niet via andere ingewikkeldere wegen zoals per post. Het intrekken van toestemming heeft ook gevolgen voor bijvoorbeeld het recht op uitwissing, wat in een andere blogpost van deze reeks verder wordt uitgelegd.

6) En verder…

Houd er rekening mee dat de verordening meer eisen stelt aan toestemming die niet zijn veranderd ten opzichte van de Wbp! Zo moet toestemming in vrijheid gegeven zijn en kan dus niet zomaar worden gevraagd in afhankelijkheidsrelaties. Bovendien moet je duidelijke informatie verstrekken over de doelen waarvoor je precies toestemming vraagt en wat je vervolgens gaat doen met de verzamelde gegevens.