Je toestemming of je leven!

27-05-2019

Chao, I Chu

Als je erbij stilstaat hoeveel websites je dagelijks bezoekt, dan is de kans vrij groot dat je (letterlijk en figuurlijk) tegen een cookiewall aanloopt. Voor de duidelijkheid: met een cookiewall bedoel ik dan een beeldvullend scherm dat de toegang tot de website blokkeert en waarin je vriendelijk – doch dringend – wordt verzocht om eerst alle cookies, inclusief de tracking cookies, te accepteren voordat je de website kunt bezoeken. Er is veel discussie over de toelaatbaarheid van deze cookiewalls. De Autoriteit Persoonsgegevens (AP) heeft recentelijk een document gepubliceerd waarin ze aangeeft dat dit soort cookiewalls niet is toegestaan.1 De reden hiervoor is dat toestemming niet ‘vrij’ wordt gegeven. Veel bedrijven, maar ook advocaten en juristen, zijn het hiermee niet eens. Veel websites zijn volgens hen afhankelijk van advertentie-inkomsten. Ze zijn van mening dat ze zelf moeten kunnen bepalen of zij iemand op hun website toelaten of niet. Wie heeft gelijk?

Om deze vraag te kunnen beantwoorden, ga ik terug naar de kern van de discussie: wanneer is er sprake van ‘vrije’ toestemming? En vooral: wanneer is toestemming niet meer ‘vrij’? Hierbij geef ik nog enkele voorbeelden uit de praktijk.

Wat is ‘vrije toestemming’?

Wat verstaan we nu eigenlijk onder ‘vrije toestemming’? De Algemene verordening gegevensbescherming (AVG) bevat een uitgebreide definitie van ‘toestemming’:

“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”

Een vrije toestemming (vrije wilsuiting) is slechts één van de voorwaarden voor een geldige toestemming onder de AVG. Oftewel: als je geen vrijwillige toestemming hebt gegeven, is het volgens de AVG niet geldig.

De AVG bevat meer regels voor het geven van toestemming door een bezoeker die naast elkaar gelden. Je moet bijvoorbeeld:

  1. gedocumenteerd kunnen aantonen dat er toestemming is gegeven;
  2. het verzoek om toestemming in een begrijpelijke, gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal presenteren;
  3. een duidelijk onderscheid maken tussen het verzoek om toestemming en andere zaken (zoals algemene voorwaarden);
  4. de gegeven toestemming altijd weer kunnen laten intrekken;
  5. het intrekken van toestemming even eenvoudig maken als het geven van die toestemming; en
  6. toetsen of de toestemming vrij is gegeven en echt nodig is.

Hoewel alle voorwaarden voor ‘toestemming’ de moeite waard zijn om te bespreken, zal ik hier verder alleen ingaan op de voorwaarde van ‘vrijheid’.

Om te kunnen spreken van ‘vrije’ toestemming moet je jezelf de volgende vijf vragen stellen:

  1. Heb ik echt toestemming nodig?
  2. Heeft de betrokkene de keuze om toestemming te weigeren?
  3. Heeft de betrokkene de controle over de toestemming (bijvoorbeeld om deze in te trekken)?
  4. Voelt de betrokkene zich op geen enkele manier gedwongen?
  5. Zijn er geen nadelige gevolgen voor de betrokkene als er geen toestemming wordt gegeven?

Als je de bovenstaande vragen allemaal met ‘ja’ kunt beantwoorden, dan is er sprake van een ‘echte’ vrije toestemming. In alle andere gevallen is de toestemming waarschijnlijk niet geheel vrijwillig en daardoor niet geldig. Het concept van vrije toestemming lijkt op het eerste gezicht zo simpel. In de praktijk blijkt het toch nog niet zo eenvoudig om hieraan te voldoen, vanwege allerlei commerciële belangen (advertentie-inkomsten).

In de praktijk merk ik dat veel organisaties de neiging hebben om te snel voor ‘toestemming’ te kiezen als grondslag voor een gegevensverwerking. Vervolgens gaan ze de mist in door deze toestemming op een of andere manier af te dwingen. Als hiervan sprake is, dan is er alleen geen sprake van een geldige toestemming en wordt er in strijd met de AVG gehandeld.

Praktijkvoorbeelden van geen vrije toestemming

Hieronder volgen enkele praktijkvoorbeelden waarin de toestemming in ieder geval niet ‘vrij’ kan worden gegeven:

1. Overheidsinstanties

Voor overheidsinstanties is het vaak lastig om vrije toestemming te krijgen van burgers vanwege de ongelijke machtsverhouding. Het wringt al bij de vraag of de burger echt de keuze heeft om toestemming te weigeren, als de burger daardoor bijvoorbeeld niet in aanmerking komt voor een uitkering of vergunning. Als het antwoord hierop ‘nee’ is, is er geen sprake van een geldige toestemming.

Overheidsinstanties worden in overweging 43 van de AVG expliciet genoemd als voorbeeld waarbij het onwaarschijnlijk is dat toestemming in vrijheid kan worden gegeven door een betrokkene. Overheidsinstanties zullen daarom meestal een andere grondslag moeten kiezen, bijvoorbeeld de uitvoering van een wet, of de uitvoering van een publieke taak.

2. Arbeidsrelaties

Ook de relatie tussen een werkgever en werknemer of sollicitant wordt gezien als een ongelijke verhouding. Hierdoor is het vaak problematisch voor werkgevers om de verwerking van persoonsgegevens in arbeidsrelaties te baseren op toestemming. Het is namelijk niet heel aannemelijk dat werknemers geheel vrij hun toestemming kunnen geven, vanwege de afhankelijke positie van de werknemer. Als je toestemming vraagt aan een werknemer of sollicitant, dan durft deze meestal niet de toestemming te weigeren, uit angst dat dit negatieve gevolgen kan hebben, bijvoorbeeld een ontslag of het mislopen van een baan of promotie. Ook een slechtere reputatie (bekend staan als spelbreker of zeurpiet) kan een negatief gevolg zijn.

De toestemming van een werknemer kan daarom maar zelden echt vrijwillig zijn. Dit is alleen anders als het bijvoorbeeld gaat om een individueel fitnessprogramma waaraan werknemers vrijwillig kunnen deelnemen.

In werkverband bestaan er vaak al andere geschikte grondslagen om persoonsgegevens te kunnen verwerken, zodat toestemming helemaal niet nodig (en passend) is. Zo is het noodzakelijk om het BSN van de werknemer te verwerken, om te voldoen aan sociale verzekeringswetten en belastingwetten. Een ander voorbeeld is de noodzaak om het bankrekeningnummer van de werknemer te verwerken, om het salaris te kunnen betalen en de arbeidsovereenkomst uit te voeren. En voor camerabeveiliging in het bedrijfsgebouw heeft de werkgever vaak een gerechtvaardigd belang (beveiliging van bedrijfseigendommen). Het zou in deze situaties zeer onhandig zijn om de gegevensverwerking te baseren op toestemming. Niet alleen omdat dit zeer onpraktisch is (stel je voor dat je iedereen die jouw bedrijfspand binnenloopt, moet vragen of je hem mag filmen), maar ook omdat ‘nee’ in deze situaties geen optie is.

Lees de rest van het interview 'Je toestemming of je leven!' in het gratis magazine 'Eén jaar AVG'.


Dit artikel is ook te vinden in de dossiers AVG en e-Privacy

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer