Met de invoering van de Algemene verordening gegevensbescherming (AVG) in mei 2018 is de belangstelling voor het onderwerp ‘privacy’ enorm toegenomen. Ook de misverstanden zijn hardnekkiger. Een van die misverstanden is het begrip ‘toestemming’. De betekenis van het woord ‘toestemming’ is in het normale spraakgebruik anders dan de ‘toestemming’ als rechtmatige grondslag om iets met persoonsgegevens te mogen doen.
Een veel voorkomende misvatting is dat altijd toestemming gevraagd moet worden aan de betrokkene. Zo was er een instelling die de cliënt zes keer een handtekening liet zetten:
om persoonsgegevens vast te leggen
als bevestiging dat de cliënt de privacyverklaring heeft gelezen
om de overeenkomst van dienstverlening te ondertekenen
om informatie op te vragen bij derden
op het formulier ‘verklaring gebruik inzagerecht cliëntdossier’
om het dossier af te sluiten en naar het archief te brengen.
Deze instelling had bij de invoering van de AVG in 2018 een HBO-stagiaire aangesteld om de nieuwe wetgeving te implementeren. Hij gaf, na het lezen van art. 6 AVG, het advies aan de receptioniste om toestemming te vragen van de cliënt om hem door te verbinden met een hulpverlener.
Toen werd het tijd om een privacy jurist te raadplegen. “Of het ook anders kon?” Ja het kan anders. Er is maar één situatie waar een handtekening voor vereist is: als de hulpverlener informatie wil opvragen bij of verstrekken aan een derde. De overige handtekeningen zijn afgeschaft want die zijn op grond van de AVG niet nodig en leiden maar tot administratieve rompslomp.
Het misverstand over toestemming kan ontstaan, omdat er bij hulpverlening altijd instemming moet zijn; dat brengt de vrijwillige aard van de hulpverlening met zich mee: een persoon wordt op de hoogte gebracht van de mogelijkheden voor hulp, stemt ermee in en pas daarna is het noodzakelijk om persoonsgegevens vast te leggen. Het is immers niet mogelijk om hulp te verlenen zonder het vastleggen van gegevens. (1)
Toestemming om gegevens vast te leggen is in het sociaal domein geen vereiste. Er zijn andere rechtmatige grondslagen om gegevens te verwerken. Dat betekent dus dat eerst helder moet zijn wat wel mag, zonder toestemming van de betrokkene.
Er is geen toestemming nodig:
om een dossier aan te leggen;
om gegevens te delen met direct betrokken collega’s als dat noodzakelijk is met het oog op een goede behandeling of verzorging, in het belang van de cliënt (dit moet eng worden geïnterpreteerd), of voor het beheer van de instelling;
als de verantwoordelijke verplicht of bevoegd is persoonsgegevens te verstrekken op grond van een wet;
bij conflict van plichten, waarbij de geheimhoudingsplicht botst met het recht om gegevens te verstrekken vanwege zwaarwegende belangen van de cliënt of een ander;
van een wettelijk vertegenwoordiger als een onder curatele gestelde of minderjarige een beroep doet op gratis hulp- en adviesdiensten, zoals de Kindertelefoon.
Toestemming is dus alleen nodig als men iets wil doen dat buiten de reguliere werkwijze ligt.
Toestemming vragen aan de betrokkene is omslachtig en is ook een hele wankele basis om gegevens te verwerken en te verstrekken. De toestemming kan immers op elk moment ingetrokken worden en dan moet direct gestopt worden met de verwerking of de verstrekking. Nog belangrijker is de eis dat de toestemming in alle vrijheid gegeven moet zijn.
De definitie van toestemming luidt als volgt: ‘elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt’.(1)
De betrokkene moet vooraf volledig geïnformeerd zijn (informed consent) en op de verantwoordelijke rust de plicht dat aan te tonen. Dus veelal schriftelijk, of in ieder geval door een aantekening in het dossier. En let op dat de handtekening waarmee toestemming wordt gegeven niet tevens betrekking heeft op andere onderwerpen, bijvoorbeeld: ‘hiermee verklaar ik dat het formulier naar waarheid is ingevuld en stem ik in met de voorwaarden van dienstverlening en het opvragen van gegevens’.
De toestemming is alleen rechtmatig als deze in alle vrijheid gegeven is. Daar is in de relatie tussen overheid en burger en tussen hulpverlener en hulpvrager vaak geen sprake van. Met de overheid hebben we een ‘verplichte’ relatie en tegenover de hulpverlener verkeert de cliënt vaak in een kwetsbare en afhankelijk positie. Erg gelijkwaardig zijn deze relaties niet. Dit heeft de wetgever erkend. In overweging 43 bij de AVG is over ‘toestemming’ de volgende zinsnede te vinden:
‘Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend.’
En dit maakt het lastig, want als een burger een voorziening of hulp nodig heeft, dan is al snel sprake van een ongelijkwaardige, want afhankelijke, relatie. Dat in de wetgeving van het sociaal domein in diverse bepalingen toestemming als rechtmatige grondslag wordt genoemd, is dan ook zeer discutabel.(3) De wetgever heeft hier bij de invoering van de AVG geen aandacht aan besteed.
Als de verantwoordelijke in incidentele gevallen toestemming vraagt, zal gewaarborgd moeten zijn dat die toestemming altijd in alle vrijheid gegeven is. In het sociaal domein lijkt dat nagenoeg onmogelijk.
Als gekozen wordt voor toestemming als rechtmatige grondslag voor een gegevensverwerking, het opvragen of verstrekken, dan dient de verwerkingsverantwoordelijke zich altijd af te vragen of toestemming wel de meest geschikte grondslag is, en, of niet een andere grondslag van toepassing kan zijn. Toestemming kan alleen een grondslag zijn als de betrokkene een daadwerkelijke keuzemogelijkheid wordt geboden als het gaat om het accepteren of weigeren van de voorwaarden die worden geboden zonder dat dit nadelige gevolgen heeft.
Degene die toestemming geeft moet volledig geïnformeerd zijn en weten wat er met zijn gegevens gebeurt;
Er is geen sprake van een ongelijke machtsverhouding;
De persoonsgegevens worden voor een legitiem doel gebruikt;
Het doel waarvoor toestemming wordt gegeven is voldoende concreet omschreven en afgebakend;
De betrokkene is ervan op de hoogte gesteld dat hij te allen tijde de toestemming kan intrekken en wat de gevolgen daarvan zijn;
De toestemming is op schrift gesteld (niet in de kleine lettertjes van de algemene voorwaarden);
De identiteit van degene die toestemming geeft is vastgesteld;
Het toestemmingsformulier is van een datum voorzien en ondertekend.
Alleen als aan al deze voorwaarden is voldaan, is sprake van uitdrukkelijke toestemming die nodig is in het sociaal domein.(4)
(1) Zo ook de Autoriteit Persoonsgegevens in het rapport ‘Verwerking van persoonsgegevens in het sociaal domein: De rol van toestemming’, april 2016, p. 7 en 11.
(2) Art. 4 lid 11 AVG
(3) Toestemming is onder meer te vinden in de Participatiewet art. 53a lid 2 onderdeel b, in de Wmo art. 3.4, 5.1.1, 5.2.1, 5.2.5, 5.3.3 en 5.3.6 en in de Jeugdwet art. 5.4, 7.3.11, 7.3.13 en 7.9.16.
(4) Art. 22 lid 2 onderdeel a Uitvoeringswet AVG.
In augustus is het boek Privacy in het sociaal domein verschenen van Corrie Ebbers, Paulien Bunt, Sophie Vastenhout en Micha Venderbos. Hierin is uitgebreid aandacht besteed aan de misverstanden in het sociaal domein. Bekijk ook de eerdere blog van Corrie Ebbers over de verwerker in het sociaal domein.
