Toestemmingsmoeheid na een jaar AVG: een blik op andere mogelijkheden

05-06-2019

Eikendal, Imke

Na een jaar zijn de Algemene verordening gegevensbescherming (AVG) en (online) gegevensbescherming niet meer weg te denken van het internet. Vorig jaar mei sloeg het ene na het andere bedrijf je met een toestemmings-e-mail om de oren: of je even toestemming wilde geven voor de verwerking van persoonsgegevens, met daarbij informatie over het gewijzigde privacy beleid. En of je even kon aangeven of je de nieuwsbrief wilde blijven ontvangen. Door deze vraag om toestemming en de verplichting transparant te zijn zou de consument weer in control komen over het gebruik van zijn persoonsgegevens. Maar is dat ook zo? Of ligt consent fatique op de loer?

De grondslagen in de AVG

De AVG bevat zes gronden om persoonsgegevens te mogen verwerken. Deze gronden zijn niet nieuw; ze stonden al in de Wet bescherming persoonsgegevens (Wbp). Toestemming staat als eerste grond genoemd, maar verdient dit in de praktijk ook de meeste voorkeur? De Autoriteit Persoonsgegevens lijkt hier wel op aan te sturen. Als je alle momenten waarop je toestemming moet geven bij elkaar optelt, dan zou je inderdaad denken dat toestemming de heilige graal is voor de verwerking van persoonsgegevens. Dat is echter niet per se het geval, zo zal later blijken.

Toestemming

In de debatten en ontwerpen van de verordening wordt toestemming vaak gezien als het belangrijkste criterium voor legitieme verwerking. Echter, de definitieve versie van de verordening behandelt toestemming als een van de vele alternatieven voor legitieme verwerking.1

Toestemming moet gegeven worden via een duidelijk actieve handeling, waaruit blijkt dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Het datasubject moet de toestemming kunnen weigeren en makkelijk kunnen intrekken. De vereiste dat toestemming specifiek en geïnformeerd dient te zijn, voorkomt dat doeleinden verstopt of weggelaten kunnen worden. Het vragen van toestemming vergt dus een duidelijke informatieverstrekking en een goede boekhouding. Je dient als verantwoordelijke aan te moeten kunnen tonen wie, wanneer en op welke toestemmingsvraag akkoord heeft gegeven. Technisch vereist toestemming dus een goede inrichting van systemen.

In de praktijk valt op dat het geldende beleid bij verwerkingsverantwoordelijken lijkt te zijn: we vragen het datasubject om toestemming, dan zitten we altijd goed. Maar is er wel altijd toestemming nodig? Wat als je eigenlijk geen toestemming nodig had, bijvoorbeeld omdat er sprake is van de uitvoering van een overeenkomst, en iemand trekt zijn toestemming in? Is de overeenkomst dan ontbonden? Mag je toestemming dan alsnog weigeren? Het brengt de verantwoordelijke in een moeilijke positie en het datasubject voelt zich mogelijk op het verkeerde been gezet wanneer zijn intrekking ineens niet meer gehonoreerd wordt. De Engelse toezichthouder Information Commissioner's Office (ICO) noemt het vragen van consent wanneer er een andere verwerkingsgrond aanwezig is zelfs ‘misleading and inherently unfair’. Het zou het individu, naast een valse keuze, enkel ‘the illusion of control’ geven. De toezichthouder geeft dan ook aan dat toestemming zeker niet altijd de meest passende grond voor gegevensverwerking is.2

Consent fatique

Toestemming moet specifiek en transparant zijn. Een organisatie moet ervoor zorgen dat het datasubject goed geïnformeerd een beslissing kan maken over het gebruik van haar data. Dit zou moeten voorkomen dat consumenten worden overbelast met te veel informatie wanneer zij een website bezoeken, over het internet surfen, een applicatie downloaden of goederen of diensten kopen. De vele toestemmingsvragen kunnen echter ook resulteren in een zekere mate van consent fatique: instemmingsmoeheid.3

Lees de rest van het artikel 'Toestemmingsmoeheid na een jaar AVG: een blik op andere mogelijkheden' in het gratis magazine 'Eén jaar AVG'.


Dit artikel is ook te vinden in het dossier AVG

Van onze partners

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Checklist Privacy AVG

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
paula vrolijk

Paula Vrolijk-de Vries (programmamanager Privacyweb)
tel. 020 - 237 47 01
paula@berghauserpont.nl

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer