Hoe zit het ook alweer met de toestemming om gegevens te verwerken?
Door Mike Landerbarthold en Lora Mourcous, legal counsels bij SOLV Advocaten in Amsterdam.
Er bestaat vaak verwarring over het toestemmingsvereiste in het kader van het privacyrecht. Mensen menen vaak dat ‘hun privacy’ is geschonden omdat ze geen toestemming hebben gegeven voor het gebruik van hun gegevens. Maar andersom wordt ook gedacht dat een eenmaal gegeven toestemming recht geeft op ongelimiteerd gebruik van gegevens.
Een gegevensverwerking moet steeds kunnen worden gebaseerd op één van de zes in de Wet bescherming persoonsgegevens (Wbp) genoemde grondslagen. Is dat niet mogelijk, dan is het gebruik van persoonsgegevens niet toegestaan. Een van de grondslagen is het vragen van ondubbelzinnige toestemming van degene op wie de gegevens betrekking hebben (‘de betrokkene’). Die toestemming moet aan een aantal criteria voldoen.
Ten eerste moet de betrokkene zijn wil in vrijheid hebben geuit. Daar is bijvoorbeeld geen sprake van als de betrokkene in een afhankelijke positie staat ten opzichte van degene die toestemming vraagt en onder druk van die afhankelijkheid toestemming verleent. Zo is in een arbeidsverhouding, waarin de werknemer financieel afhankelijk is van de werkgever, over het algemeen niet snel sprake van ‘vrije’ toestemming. Om deze reden heeft de Autoriteit Persoonsgegevens in 2016 bepaald dat werkgevers hun werknemers geen wearable cadeau mogen geven als zij daarmee ook inzicht krijgen in bewegingsgegevens van de werknemers.
Ten tweede moet toestemming van de betrokkene specifiek gericht zijn op bepaalde gegevensverwerkingen. Dit betekent dat er geen sprake is van geldige toestemming als deze is verleend voor zeer ruim of ongelimiteerd gebruik. De betrokkene moet daarom vóór het geven van de toestemming dusdanig worden geïnformeerd dat hij begrijpt waarvoor hij toestemming geeft.
Tot slot moet toestemming ondubbelzinnig zijn. Dit betekent dat er geen twijfel mag bestaan over de vraag of en voor welk specifiek gebruik de betrokkene zijn toestemming heeft gegeven. Toestemming kan zowel expliciet, bijvoorbeeld door het aankruisen van een vakje op een (online) formulier, als impliciet blijken uit de gedragingen van de betrokkene. Impliciete toestemming is echter lastig hard te maken: zo kon de datadeling van WhatsApp met moederbedrijf Facebook bijvoorbeeld niet door de beugel. Er was immers gekozen voor een opt-out die ergens was verstopt in de instellingen van WhatsApp, waarmee je ‘automatisch’ toestemming gaf voor de verwerking, tenzij je tijdig de datadeling ‘uitvinkte’. Van ondubbelzinnige toestemming is in een dergelijk geval geen sprake.
Als het gaat om bijzondere persoonsgegevens, bijvoorbeeld gegevens over iemands gezondheid of godsdienst, is steeds uitdrukkelijke toestemming vereist. Dit betekent dat de betrokkene expliciet zijn wil moet hebben geuit. Dat is dus (nog) sterker dan de ondubbelzinnige toestemming zoals hiervóór omschreven.
Overigens gaat er nog wel iets veranderen de komende jaren. Organisaties in zowel de publieke als private sector moeten hun bedrijfsvoering in overeenstemming brengen met de in 2016 in werking getreden Algemene verordening gegevensbescherming (AVG). Hiervoor krijgen zij tot 25 mei 2018 de tijd. De AGV vereist ten eerste dat toestemming voortaan moeten worden gegeven door middel van een ‘duidelijke actieve handeling’. Impliciete toestemming, zoals een stilzwijgen, het gebruiken van reeds aangekruiste vakjes of inactiviteit (wie zwijgt, stemt toe) kan niet meer als toestemming gelden. De drempel voor het verkrijgen van geldige toestemming wordt daarmee aanzienlijk hoger.
Ten tweede noemt de AVG nu ook omstandigheden waarin toestemming vrij is gegeven. Volgens de AVG is daar in elk geval geen sprake van bij een duidelijke onevenwichtigheid tussen de betrokkene en degene die toestemming vraagt voor het gebruik van de gegevens. Als voorbeeld noemt de AVG expliciet de situatie waarin een overheidsinstantie om toestemming vraagt.
Dit artikel verscheen in het meinummer van het Advocatenblad. De hele editie is hier te lezen.