Formulieren
Het zal u vast wel eens zijn opgevallen, u vindt overal op het web formulieren die u kunt invullen. Om contact op te nemen, informatie op te vragen of voor een nieuwsbrief. Een emailadres is meestal voldoende, een muisklik op een knop en de software doet de rest. Tot zover gaat alles goed, nou ja zo lijkt het. De formulieren geven namelijk meestal weinig informatie over de persoonsgegevens die worden verwerkt. Soms zelfs helemaal niet.
Een enkele keer is er een vakje dat u kunt (of moet) aanvinken, met de mededeling dat u akkoord gaat of volmondig “ja” zegt. Soms is het vinkje zelfs al van te voren geplaatst, heel gemakkelijk natuurlijk.
Punt is dat de Wet Bescherming Persoonsgegevens (WBP) hiermee vaak (niet altijd) wordt overschreden. Het ontbreken van informatie zal absoluut tot schending leiden van de Algemene Verordening Gegevensbescherming (AVG) na 25 mei 2018. De vereisten voor het verwerken van persoonsgegevens op basis van toestemming worden dan namelijk zwaarder. Een korte uitleg.
Doel en rechtmatigheid
Het verwerken van persoonsgegevens moet zijn gekoppeld aan een doel. Ontbreekt het doel dan is het verwerken verboden. Naast een gerechtvaardigd doel moet een grond aanwezig zijn voor rechtmatige verwerking. Er zijn er zes, de belangrijkste drie zijn het hebben van een overeenkomst, een wettelijke verplichting en toestemming. Er kan slechts een grondslag zijn voor elk doel. Soms zijn meerdere gronden aanwezig voor verschillende doeleinden, waarbij dezelfde persoonsgegevens worden verzameld. Het volgende voorbeeld zal dit verder duidelijk maken.
U sluit als bedrijf een koopovereenkomst met een consument. Hierdoor mag u de naam en adresgegevens van de koper verwerken (ontvangen, gebruiken, opslaan). U heeft die namelijk nodig om de gekochte zaak te leveren. U wilt de koper meteen op uw verzendlijst zetten voor uw maandelijkse nieuwsbrief. Dat ligt meestal niet in het verlengde van de koopovereenkomst, dus u heeft daarvoor apart toestemming nodig. U levert de zaak, waarna u eigenlijk de persoonsgegevens weer zou moeten verwijderen. Het doel (verkoop van de zaak) is immers verdwenen. U bent alleen wettelijk verplicht om een administratie bij te houden, dus u mag de naam en adresgegevens langer opslaan, om te voldoen aan de wet. Tenslotte, als u toestemming hebt om een nieuwsbrief te versturen, mag u de naam en het emailadres bewaren en daarvoor blijven gebruiken – totdat afmelding plaatsvindt.
Impliciete toestemming
Het probleem bij formulieren is iets moeilijker uit te leggen. De Memorie van Toelichting op de WBP zegt dat het zelf opgeven van persoonsgegevens een vorm van toestemming is. Het invullen van een formulier voor een bepaalde dienst (zie p. 67 Memorie van Toelichting op de WBP) kan soms als toestemming worden beschouwd. Maar alleen als duidelijk is dat persoonsgegevens worden verwerkt en voor welk doel. De ontvangst van een nieuwsbrief valt hier zeker onder, het is de vraag of dat ook in andere gevallen zo is. Een betrokkene kan namelijk alleen verantwoord toestemming geven als hij zo goed mogelijk is ingelicht. Onvoldoende informatie leidt dan tot schending van de WBP. Een tweede voorbeeld zal dit duidelijk maken.
Veel bedrijven bieden momenteel hulp om te voldoen aan de AVG. Websites bevatten stappenplannen, checklists en whitepapers, die kunnen helpen bij de implementatie. Dat is natuurlijk handig als u geen kennis hebt van de AVG. Documenten kunnen worden gedownload, vaak nadat u uw naam en emailadres hebt opgegeven. Dit zou moeten gebeuren met een vermelding over het opslaan van persoonsgegevens en het vragen van toestemming. Er zou sprake moeten zijn van een eenmalige actie, wat ook het vermelden waard is. Persoonsgegevens zouden tenslotte direct na gebruik moeten worden verwijderd. De ervaring leert helaas dat al deze informatie vaker niet dan wel wordt verstrekt. Niet getreurd, want het gaat veranderen. Het is slechts een kwestie van tijd.
Toestemming onder de AVG
Het verwerken van persoonsgegevens op basis van toestemming gaat radicaal wijzigen onder de AVG. Elke vorm van toestemming – dus ook een eenvoudig abonnement op een nieuwsbrief – moet dan aan diverse vereisten voldoen. Deze worden hierna kort weergegeven: toestemming moet worden gegeven uit vrije wil, voor een voldoende specifiek doel, met verstrekking van informatie en door een ondubbelzinnige handeling. Deze informatie is voor een belangrijk dele gebaseerd op de richtlijn over toestemming van het Europees Comité voor Gegevensbescherming (voorheen de Artikel 29 Werkgroep), gepubliceerd in november 2017 (Guideline on consent).
1) Vrije wil
Er moet in vrije wil toestemming kunnen worden gegeven. Toestemming kan dus niet worden gebruikt bij een scheve machtsverhouding tussen de betrokkene en de verantwoordelijke. Dit geldt bijvoorbeeld (vrijwel) altijd voor overheidsinstanties en in een werkgever-werknemer relatie. Soms wordt toestemming gebundeld, bijvoorbeeld door het te koppelen aan het accepteren van algemene voorwaarden. Dat wordt straks (vrijwel) nooit meer als vrije wil beschouwd. De bewijslast voor in vrijheid gegeven toestemming ligt verder bij de verantwoordelijke. Bij meerdere doelen moet voor elk doel apart toestemming worden gevraagd. Er mag tenslotte geen (negatief) gevolg zitten aan het weigeren van toestemming. Zie p. 6 e.v. Guideline on consent.
2) Specifiek
Toestemming moet worden gegeven voor een specifiek doel. Dit is gekoppeld aan de doelbeperking van artikel 5 (onder 1 b) AVG. Het dient als een buffer tegen het langzaam verbreden of vervagen van de doelen waarvoor data wordt verwerkt, nadat toestemming is gegeven. Het vereiste van aparte toestemming bij meerdere doelen wordt hier doorgetrokken: de toestemming voor elk apart doel moet ook voldoende specifiek zijn, net als de informatie die wordt verstrekt per apart doel. Zie p. 12 e.v. Guideline on consent.
Ter illustratie: verstuurt u een nieuwsbrief, dan mag u die gegevens niet gebruiken voor de uitnodiging van een evenement. Als u toestemming vraagt voor meerdere doelen, moet elke toestemming apart kunnen worden ingetrokken. Dit moet worden geregistreerd op naam, datum en onderwerp, met een intern vastgelegde bewaartermijn, interne procedures voor regelmatige controle op juistheid, een interne procedure voor het geval rechten worden uitgeoefend (met bijbehorende interne aanspreekpunten), etc.
3) Informerend
Het moet duidelijk zijn wie de persoonsgegevens opslaat, wat ermee gebeurt en waarom (met welk doel) de persoonsgegevens worden opgeslagen. Een eenvoudige mogelijkheid tot intrekking moet worden gegeven. Ook moet duidelijk zijn aan wie persoonsgegevens eventueel worden doorgestuurd. Dit moet volgens het transparantie beginsel in eenvoudige taal en gemakkelijk toegankelijk zijn. Het “verbergen” van deze informatie in algemene voorwaarden wordt bijvoorbeeld onvoldoende geacht. Bij twijfel wordt de tekst in het voordeel van de betrokkene uitgelegd.
De artikelen 13 en 14 AVG over het verstrekken van informatie zijn overigens onverkort van kracht. Het moet helder zijn hoe lang persoonsgegevens worden bewaard, waar en hoe rechten kunnen worden uitgeoefend en waar een klacht kan worden ingediend tegen de verwerking. Dit heeft gevolgen voor de manier waarop bijvoorbeeld een privacy statement en andere informatiebronnen moeten worden gebruikt, naast de informatieverstrekking bij het vragen van toestemming. Zie p. 13 e.v. Guideline on consent.
4) Ondubbelzinnige handeling
Er moet sprake zijn van een verklaring of een duidelijk bevestigende handeling, waardoor toestemming wordt gegeven. Een verklaring kan zowel schriftelijk als mondeling worden gegeven. Er is sprake van een handeling als een betrokkene doelbewust (opzettelijk) een actie verricht om toestemming te verlenen. Een vooraf aangevinkte optie is verboden, net als stilzwijgen, inactiviteit of het voortzetten van (het afnemen van) een dienst. Elektronische toestemming kan onder omstandigheden een gebruikerservaring onderbreken, ook al stelt overweging nummer 32 van de AVG dat het niet onnodig onderbrekend mag zijn. Zie p. 16 e.v. Guideline on consent.
Overige vereisten
De richtlijn bespreekt nog een aantal eisen die zijn verbonden met het geven van toestemming. Zo is soms uitdrukkelijke toestemming vereist, bijvoorbeeld bij het verwerken van bijzondere persoonsgegevens. Een verantwoordelijke moet verleende toestemming kunnen aantonen, in ieder geval zo lang als het verwerken duurt. Het bewijs moet worden bewaard, de duur is afhankelijk van de context en de verwachtingen van een betrokkene. Het Europees Comité voor Gegevensbescherming adviseert ook verleende toestemming met een bepaalde interval te vernieuwen. Tenslotte moet toestemming net zo makkelijk kunnen worden ingetrokken als het is gegeven, op dezelfde of een vergelijkbare manier, via eenzelfde of vergelijkbare interface. Uiteraard mag hierbij geen sprake zijn van enige terugval in service of andere negatieve gevolgen. Het intrekken van toestemming moet leiden tot het verwijderen of anonimiseren van de aanwezige persoonsgegevens.
Verdere verdieping
De vereisten aan toestemming die de AVG stelt zijn hier nog slechts in een notendop weergegeven. Meer details kunnen worden gevonden in de vermelde richtlijn, met 30 pagina’s over de toepassing van het beginsel toestemming (pdf bestand downloaden via deze link Guidelines on consent). Het belang van deze vorm van rechtmatige verwerking is overduidelijk groot.
De bovenstaande afbeelding geeft de nieuwe eisen voor toestemming visueel weer. U kunt deze hier inzien en opslaan, zonder persoonsgegevens op te geven. Doe er uw voordeel mee.
