Nieuwsbrief AVGB: Het concept van toestemming

23 februari 2017


Nieuwsbrief AVGB: Het concept van toestemming

Toestemming als grondslag voor de verwerking van persoonsgegevens

Toestemming is één van de zes grondslagen voor gegevensverwerking onder de Wet bescherming persoonsgegevens (Wbp). Zonder wettelijke grondslag morgen persoonsgegevens niet worden verwerkt. Ook onder de Algemene Verordening Gegevensbescherming (AVGB) vormt toestemming een grondslag voor gegevensverwerking. Deze nieuwsbrief behandelt de verschillen tussen (i) de juridische kaders van toestemming en (ii) de voorwaarden voor geldige toestemming zoals neergelegd in respectievelijk de Wbp en de AVGB.

Het juridisch kader van toestemming

Het juridisch kader van toestemming in de Wbp is één op één gebaseerd op de Europese Richtlijn 95/46/EC (de Richtlijn):

“Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.”

Deze definitie bestaat grotendeels uit niet-concreet ingevulde termen die in de praktijk tot rechtsonzekerheid (kunnen) lijden. Mede daarom heeft het onafhankelijke advies- en overlegorgaan van Europese privacy toezichthouders, de Artikel 29-Werkgroep (de WG29), in juli 2011 een analyse van het toestemmingsbegrip gepubliceerd. Deze analyse is (en blijft) een belangrijk richtsnoer voor de wijze waarop privacy toezichthouders in de EU het concept van toestemming interpreteren. In het kort moet toestemming:

  • Vrij gegeven zijn. Dit betekent dat het de betrokkene vrijstaat om geen toestemming te geven. De betrokkene moet een echte keuze hebben: weigeren mag en zal geen negatieve consequenties hebben. Toestemming wordt doorgaans niet geacht vrijelijk te zijn gegeven wanneer de betrokkene zich ten opzichte van de verantwoordelijke in een ondergeschikte positie bevindt (bijvoorbeeld in verhouding tot een werkgever of een overheidsinstantie).
  • Specifiek zijn. Algemene toestemming zonder specificatie van het verwerkingsdoel is onvoldoende. Het moet de betrokkene duidelijk zijn voor welke verwerkingen er om zijn toestemming wordt gevraagd. Specifieke bepalingen over toestemming moeten los van diverse algemene bepalingen worden gepresenteerd.
  • Op informatie berusten. De verantwoordelijke is gehouden om de betrokkene van (een) bepaalde (minimale hoeveelheid) informatie te voorzien met betrekking tot diens gegevensverwerking. De hoeveelheid informatie die de verantwoordelijke geeft moet voldoende zijn om de betrokkene een goed geïnformeerde keuze te kunnen laten maken. De manier waarop de informatie wordt gegeven - in het bijzonder het taalgebruik - moet begrijpelijk zijn. Gecompliceerd juridisch jargon is niet geschikt. De informatie die wordt gegeven moet daarnaast voldoende opvallen zodat de betrokkene er niet gemakkelijk overheen leest. Ten slotte dient de informatie direct aan de betrokkene te worden verschaft: slechts een aanwijzing van de plaats waar de betrokkene de informatie kan vinden (bijvoorbeeld “ergens op het internet”) is niet voldoende.
  • In samenhang met de andere eisen van de Wbp worden bezien. Indien de gegevensverwerking gebaseerd is op toestemming, dient deze toestemming ‘ondubbelzinnig’ te zijn. Dit betekent dat er geen ruimte mag bestaan voor twijfel over de intentie van de betrokkene. Er is sprake van ondubbelzinnigheid wanneer de intentie van de betrokkene slechts op één manier uit te leggen valt. De WG29 meent dat ondubbelzinnige toestemming niet goed samengaat met het verkrijgen van toestemming die berust op stilte of passiviteit (zoals vooraf aangekruiste vakjes). Voor ondubbelzinnigheid lijkt actie van de betrokkene vereist te zijn.
  • Uitdrukkelijk zijn in het geval van de verwerking van bijzondere persoonsgegevens (bijvoorbeeld gegevens betreffende de gezondheid). Een actieve reactie van de betrokkene is in dat geval vereist.

Juridisch kader van toestemming onder de AVGB

Artikel 4 (11) AVGB omschrijft toestemming als volgt:

“toestemming van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”

Het lijkt erop dat de Europese wetgever gehoor heeft gegeven aan de door de WG29 voorgestelde veranderingen ten aanzien van het juridisch kader van toestemming. Aangezien de definitie van toestemming onder de AVGB niet substantieel afwijkt van de definitie onder de Richtlijn en de definitie onder de Richtlijn één op één is geïmplementeerd in de Wbp, doen zich in de definitie niet veel veranderingen voor ten opzicht van de huidige situatie (in tegenstelling tot in sommige andere EU-lidstaten). Weliswaar is de definitie uitgebreider en explicieter geworden, maar de meeste componenten waren al vereist. De belangrijkste wijziging is dat toestemming:

  • door middel van een verklaring of een ondubbelzinnige actieve handeling gegeven dient te worden. Daadwerkelijke actie vanuit de betrokkene is vereist. Hieronder valt ook het aanvinken van een hokje of het toepassen van specifieke instellingen op de webbrowser. Reeds aangevinkte hokjes (passiviteit) geven geen blijk van een verklaring of een ondubbelzinnige actieve handeling en zullen onder de AVGB niet leiden tot toestemming.

De WG29-analyse inzake het toestemmingsbegrip deed al vermoeden dat voor toestemming actie van de betrokkene vereist is. Met de inwerkingtreding van de AVGB is dit nu zeker. Organisaties zullen moeten nagaan op welke wijze zij nu toestemming verkrijgen van betrokkenen en of dit in lijn is met de vereisten onder de AVGB.

Voorwaarden voor geldige toestemming

Artikel 7 AVGB zet nadere voorwaarden voor geldige toestemming uiteen. In de Wbp werd hier niet specifiek in voorzien. Eén van de voorwaarden voor geldige toestemming is dat de verantwoordelijke moet kunnen aantonen dat de betrokkene daadwerkelijk toestemming heeft gegeven voor de verwerking van diens persoonsgegevens. Hoewel een schriftelijke (waaronder moet worden begrepen elektronisch) verklaring niet verplicht is (de verklaring is vormvrij), is dit wel aan te raden omdat de bewijslast op de verantwoordelijke rust. Een adequate registratie van (online) gegeven toestemming (bijvoorbeeld door middel van contactformulieren op de website) zal de standaard moeten worden.

Indien de betrokkene toestemming geeft voor de verwerking van zijn persoonsgegevens via een schriftelijke verklaring die ook betrekking heeft op andere aangelegenheden, moet het verzoek om toestemming duidelijk onderscheiden worden van de rest van het document. De schriftelijke verklaring moet zijn opgesteld in een begrijpelijke en gemakkelijk toegankelijke vorm, en in duidelijke en eenvoudige taal. Wanneer de informatie niet op deze wijze aan de betrokkene wordt verstrekt, kan de toestemming als ongeldig worden beschouwd.

Net als onder de Wbp heeft de betrokkene het recht zijn toestemming op elk moment weer in te trekken. Het moet voor de betrokkene even gemakkelijk zijn om zijn toestemming in te trekken, als om deze te geven. Wat nieuw is, is dat de betrokkene - alvorens hij toestemming verleent - op de hoogte moet worden gesteld van dit recht. Daarbij moet de betrokkene worden geïnformeerd over het feit dat het intrekken van zijn of haar toestemming niet de rechtmatigheid aantast van de voorheen uitgevoerde verwerkingen op basis van zijn toestemming. Dit vereist mogelijk niet alleen aanpassingen aan het huidige privacybeleid van organisaties, maar zal eveneens vaak aanpassing van interne processen vergen.

Toestemming van kinderen

Ten aanzien van kinderen gelden er bijzondere regels met betrekking tot diensten van ‘de informatiemaatschappij’ (hieronder vallen alle diensten die, al dan niet gratis, online worden aangeboden, waaronder social media). De ratio is dat kinderen extra beschermd dienen te worden omdat zij zich over het algemeen minder bewust zijn van onder andere de risico’s die gepaard gaan met het verwerken van hun persoonsgegevens. Deze bescherming moet in het bijzonder gelden wanneer persoonsgegevens van kinderen worden gebruikt voor marketingdoeleinden, wanneer persoonlijkheids- of gebruikersprofielen worden opgesteld en wanneer persoonsgegevens worden verzameld bij het gebruik van rechtstreeks aan kinderen aangeboden diensten. Alle informatie aan en communicatie met het kind moet in duidelijke en eenvoudige taal zodat het kind de informatie gemakkelijk kan begrijpen.

Het verwerken van persoonsgegevens van kinderen op basis van toestemming is slechts toegestaan wanneer het kind ouder is dan 16 jaar. In geval het kind jonger is dan 16 jaar, is de gegevensverwerking op basis van toestemming slechts toegestaan wanneer de toestemming of machtiging tot toestemming wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt. Individuele EU-lidstaten mogen voorzien in een lagere leeftijd dan 16 jaar, echter mag deze leeftijd niet lager dan 13 jaar zijn. Nederland zal niet voorzien in een lagere leeftijd (volgens de Nederlandse wetgever is er geen reden om de huidige situatie te wijzigen). Organisaties die in de meerdere EU-lidstaten opereren en gegevens van kinderen verwerken, zullen alert moeten zijn op van de hoofdregel afwijkende nationale regelgeving.

Met betrekking tot overige betrokkenen die onvoldoende handelingsbekwaam zijn, bijvoorbeeld omdat zij onder curatele of mentorschap gesteld zijn, bepaalt de Nederlandse Uitvoeringswet AVGB (de Uitvoeringswet) dat deze personen eveneens toestemming dienen te verkrijgen van hun wettelijke vertegenwoordiger (eventuele toestemming kan nadien ook slechts weer door de wettelijke vertegenwoordiger worden ingetrokken).

Van de verantwoordelijke worden redelijke inspanningen gevergd om na te gaan of toestemming of machtiging tot toestemming daadwerkelijk is verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, met inachtneming van de beschikbare technologieën.

Organisaties die reeds verwerken op grond van toestemming

Overweging 171 AVGB luidt:

“Richtlijn 95/46/EG dient door deze verordening te worden vervangen. Verwerkingen die al gaande zijn op de datum van toepassing van deze verordening, dienen overeenkomstig deze verordening te worden gebracht binnen twee jaar na de inwerkingtreding ervan. Om de verwerkingsverantwoordelijke in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, hoeft de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EG heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming te geven. (…).”

Het uitgangspunt is dat er door organisaties niet opnieuw toestemming voor verwerking hoeft te worden verkregen wanneer toestemming reeds is verkregen op een wijze die overeenstemt met de vereisten van toestemming onder de AVGB. Het is hiermee echter (nog) niet uitgemaakt of toestemming die rechtsgeldig is verkregen onder de Wbp, maar niet in overeenstemming is met de wijze waarop de AVGB dit voorschrijft, niet langer geldig is na 25 mei 2018. Enerzijds kan gesteld worden dat de Europese wetgever belang hecht aan een flexibele voortzetting van de huidige gegevensverwerking (continuïteit) en dat toestemming niet opnieuw verkregen hoeft te worden: Om de verwerkingsverantwoordelijke in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, (…). Anderzijds (en deze redenering ligt meer voor de hand) lijken de bewoordingen van Overweging 171 erop aan te sturen dat toestemming wel opnieuw zal moeten worden verkregen (“dienen overeenkomstig deze verordening te worden gebracht binnen twee jaar na de inwerkingtreding ervan” en; “op een manier die aan de voorwaarden van deze verordening voldoet” ).

In het kader van de internetconsultatie naar aanleiding van de Uitvoeringswet zijn hierover vragen gesteld aan de Nederlandse wetgever. Mogelijk wordt deze kwestie meegenomen in de volgende versie van (de Memorie van Toelichting bij) de Uitvoeringswet.

Aanbevelingen voor de praktijk

Organisaties die op dit moment persoonsgegevens verwerken op basis van toestemming, raden wij aan na te gaan of de toestemming in overeenstemming met de vereisten vanuit de AVGB verkregen is. Indien dit niet het geval is, zullen de interne processen op korte termijn in lijn moeten worden gebracht met deze vereisten en zal de verantwoordelijke moeten overwegen of toestemming al dan niet opnieuw verkregen moet worden (om te vermijden dat toestemming niet langer (rechts)geldig is na 25 mei 2018). Daarnaast raden wij organisaties aan om interne mechanismen te implementeren waarmee eenvoudig aangetoond kan worden dat zij daadwerkelijk toestemming hebben verkregen en waarmee toestemming ook weer gemakkelijk ingetrokken kan worden. Ten slotte adviseren wij organisaties om te overwegen of andere (wellicht meer geschikte en minder risicovolle) grondslagen voor gegevensverwerking mogelijk en gewenst zijn.

Organisaties die de AVGB niet naleven, lopen het risico op hoge boetes vanuit de Autoriteit Persoonsgegevens en vanuit andere toezichthoudende instanties van EU-lidstaten waarin zij actief zijn.


Klik hier om u aan te melden voor deze nieuwsbrief. 

Overzicht van te behandelen onderwerpen

Januari 2017   Territoriale reikwijdte van de AVGB 
Februari 2017 Het concept van toestemming 
Maart 2017 Bijzondere persoonsgegevens 
April 2017  Accountability’, ‘Privacy by Design’ en ‘Privacy by Default’ 
Mei 2017  Rechten van betrokkenen (informatievoorziening)
Juni 2017 Rechten van betrokkenen (inzage, correctie en overdraagbaarheid) 
Juli 2017  Rechten van betrokkenen (bezwaar, verwijdering en beperking van verwerking) 
Augustus 2017         
Verwerkers
September 2017 Datalekken en meldplichten
Oktober 2017 Gegevensbeschermingseffectbeoordeling en de Functionaris voor de Gegevensbescherming
November 2017 Doorgifte van persoonsgegevens (buiten de EER)
December 2017 Toezichthouders (competenties, taken en bevoegdheden)
Januari 2018 'One Stop Shop'
Februari 2018 Sancties
Maart 2018 Verwerkingen van persoonsgegevens in arbeidsverhoudingen
April 2018 Profilering en Retail
Mei 2018 Overzicht

Publicaties