AVG Uitgediept #2: Toestemming als verwerkingsgrond
Per 25 mei 2018 zal de Wet bescherming persoonsgegevens komen te vervallen en worden vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). Dit gaat gepaard met een ingrijpende wijziging van de privacywetgeving die eenieder raakt. In de blogreeks ‘AVG uitgediept’ neemt het privacyteam van Ten Holter Noordam advocaten u mee door de wijzigingen in de privacywetgeving onder de AVG. In dit tweede deel van deze reeks: toestemming als grondslag voor de verwerking van persoonsgegevens onder de AVG.
Toestemming onder de Wbp
In het eerste deel van deze reeks heeft Marta Stephanian toegelicht dat persoonsgegevens slechts mogen worden verwerkt indien daarvoor een wettelijke grondslag bestaat. Eén van de grondslagen voor de verwerking van persoonsgegevens die in artikel 8 Wbp worden genoemd betreft ondubbelzinnige toestemming van de betrokkene. Toestemming wordt in artikel 1 onder i Wbp gedefinieerd als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Het vereiste van ondubbelzinnige toestemming brengt met zich dat elke twijfel dient te zijn uitgesloten over de vraag of de betrokkene toestemming heeft gegeven en voor welke specifieke verwerking(en) die toestemming geldt. Uit het gedrag van de betrokkene dient ondubbelzinnig te blijken dat hij instemt met de gegevensverwerking. Dit biedt ruimte voor verwerking van persoonsgegevens op grond van stilzwijgend of impliciet verleende toestemming. Voor de verwerking van bijzondere persoonsgegevens (zoals gegevens over etniciteit, religie, gezondheid, politieke gezindheid en seksuele geaardheid) is – naast een aantal specifieke voorwaarden afhankelijk van het soort bijzonder persoonsgegeven dat wordt verwerkt – geen ondubbelzinnige, maar zelfs uitdrukkelijke toestemming vereist. Daarvan is sprake indien de betrokkene expliciet zijn wil heeft geuit. Een stilzwijgende of impliciete toestemming is onvoldoende: de betrokkene dient in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil om toestemming te verlenen om persoonsgegevens over hem te verwerken.
Toestemming onder de AVG
De eisen aan rechtsgeldige toestemming zijn in de AVG aanzienlijk aangescherpt. In artikel 4 lid 11 AVG wordt toestemming gedefinieerd als:
“elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.
Anders dan onder de Wbp is onder de AVG dus slechts sprake van rechtsgeldig verleende toestemming als de betrokkene door middel van een verklaring of een actieve handeling toestemming voor een specifieke verwerking van persoonsgegevens heeft gegeven. Bij een ondubbelzinnige actieve handeling kan worden gedacht aan het ‘aan’ kruisen van een leeg hokje op een website. Toestemming verleend door het niet ‘uit’ zetten van een op voorhand ingevuld hokje, geldt onder de AVG niet langer als rechtsgeldig verleend. Op dit onderwerp zal later in deze blogreeks uitvoerig worden ingegaan in de editie over ‘privacy by default en privacy by design’.
De bewijslast van verleende toestemming ligt op grond van artikel 7 lid 1 AVG uitdrukkelijk bij de verantwoordelijke: deze moet te allen tijde desgevraagd kunnen aantonen dat de betrokkene toestemming tot verwerking van persoonsgegevens heeft verstrekt. Voor verwerking van persoonsgegevens op basis van impliciet of stilzwijgend verleende toestemming lijkt onder de AVG geen ruimte meer.
Uit de definitie in artikel 4 lid 11 AVG volgt dat toestemming tevens aan de volgende drie vereisten moet voldoen:
- Allereerst moet de betrokkene diens toestemming in vrijheid hebben gegeven. Er kan pas sprake zijn van een daadwerkelijke vrije wilsuiting indien de betrokkene de door de verantwoordelijke gevraagde toestemming kan weigeren zonder (de vrees) daarvan op enige wijze nadeel te ondervinden. Daarvan is geen sprake als de betrokkene ten opzichte van de verantwoordelijke een afhankelijkheidspositie inneemt of als tussen de betrokkene en de verantwoordelijke een gezagsverhouding bestaat. In bijvoorbeeld arbeidsrelaties is de waarde van toestemming als grondslag voor de verwerking van persoonsgegevens dan ook van zeer geringe waarde. Een werknemer (laat staan een sollicitant) zal immers bevreesd zijn voor de mogelijke consequenties van het weigeren van toestemming voor de verwerking van hem betreffende persoonsgegevens (ontslag of afwijzing), zodat de vraag is gerechtvaardigd of wel sprake is van een vrije wilsuiting indien de werknemer of sollicitant toestemming verleent.
Artikel 7 lid 4 AVG bepaalt dat, bij de beantwoording van de vraag of toestemming in vrijheid kan worden gegeven, onder meer in aanmerking wordt genomen of voor het kunnen aangaan van een overeenkomst is vereist dat toestemming wordt gegeven voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Kan met andere woorden alleen dan een overeenkomst worden aangegaan of kan alleen dan gebruik worden gemaakt van een bepaalde dienst, indien toestemming wordt verleend voor een daarvoor niet noodzakelijke verwerking van persoonsgegevens, dan wordt de toestemming in beginsel geacht niet te zijn gegeven.
Indien u bijvoorbeeld op internet een stofzuiger wilt bestellen en de leverancier vraagt u toestemming te geven om naast uw naam en adresgegevens tevens informatie over bijvoorbeeld uw gezinssamenstelling te verwerken voordat u de stofzuiger definitief kunt bestellen, zal uw toestemming in beginsel worden geacht niet rechtsgeldig te zijn gegeven.
- Ten tweede moet duidelijk zijn voor welke specifieke verwerking(en) toestemming is verleend. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke Algemeen geformuleerde toestemming is onvoldoende. Indien een verwerking meerdere doeleinden heeft, dient voor elk daarvan toestemming worden verleend.
- Tot slot is vereist dat de betrokkene voldoende en duidelijk over de verwerking van de persoonsgegevens is geïnformeerd en diens toestemming derhalve is gebaseerd op een juiste en volledige voorstelling van zaken. Artikel 7 lid 2 AVG bepaalt hierover dat toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moet zijn opgesteld. Hiervoor verwijs ik u naar deel 3 van deze blogreeks dat spoedig zal verschijnen.Zelfs indien aantoonbaar sprake is van daadwerkelijk uit vrije wil verleende toestemming, vormt toestemming een zeer riskante grondslag voor verwerking van persoonsgegevens. Op grond van artikel 7 lid 3 AVG heeft de betrokkene namelijk het recht om eenmaal verleende toestemming op ieder moment zonder opgaaf van redenen weer in te trekken. Het intrekken van toestemming dient even eenvoudig te zijn als het geven ervan. De betrokkene dient bovendien door de verantwoordelijke op dit recht te zijn geattendeerd voordat toestemming wordt verleend.
Als een verwerking van persoonsgegevens uitsluitend is gebaseerd op toestemming van de betrokkene, komt de grondslag voor die verwerking volledig te vervallen zodra de betrokkene besluit zijn toestemming in te trekken. Reeds om die reden is toestemming een erg wankele basis voor de verwerking van persoonsgegevens. Het verdient dan ook sterk de voorkeur om verwerking van persoonsgegevens louter op basis van toestemming zoveel mogelijk te vermijden en de verwerking van persoonsgegevens waar mogelijk (tevens) te baseren op één of meer van de overige grondslagen voor verwerking. Het is van groot belang dat de verantwoordelijke die grondslagen bepaalt (en vastlegt) vóór aanvang van de verwerking. Artikel 7 lid 3 AVG bepaalt weliswaar dat de intrekking van toestemming de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan onverlet laat, maar indien op basis van uitsluitend toestemming wordt begonnen met de verwerking van persoonsgegevens en de toestemming op enig moment door de betrokkene wordt ingetrokken, mag niet achteraf een andere grondslag worden gereconstrueerd. De verantwoordelijke zal in dat geval zijn gehouden de verwerking van persoonsgegevens te staken.
Wat betekent dit voor u?
Resumerend is bij de verwerking van persoonsgegevens op basis van (enkel) toestemming oplettendheid geboden. Nog afgezien van de complexe vraag of toestemming in vrijheid is verleend (hetgeen bijvoorbeeld in arbeidsrelaties niet het geval is), kan toestemming op ieder moment worden ingetrokken waarmee de grondslag voor de verwerking van persoonsgegevens komt te vervallen. Het verdient daarom de voorkeur om waar mogelijk te kiezen voor een andere verwerkingsgrondslag dan toestemming.
Verwerkt u persoonsgegevens op basis van toestemming, dan dient u op ieder moment te kunnen aantonen dat de betrokkenen toestemming voor deze verwerking hebben verleend. Vastlegging van verleende toestemming is dan ook een must. Aandacht is vereist bij het opstellen van een toestemmingsverklaring. Teneinde te voorkomen dat geen sprake is van rechtsgeldige toestemming omdat de betrokkene niet of onvoldoende over de verwerking is geïnformeerd, dient in de toestemmingsverklaring onder meer te worden toegelicht voor welke verwerking toestemming wordt verleend, voor welk doel de verwerking plaatsvindt en welke gegevens worden verwerkt. Tevens dient de betrokkene in de toestemmings-verklaring te worden geattendeerd op zijn recht om de daarmee te verlenen toestemming op ieder moment weer in te trekken.
De Autoriteit Persoonsgegevens kondigt op haar website aan dat in de loop van 2017 een ‘guideline’ zal verschijnen waarin de do’s en don’ts van toestemming als grondslag voor de verwerking van persoonsgegevens nader worden verduidelijkt. Het privacyteam van Ten Holter Noordam advocaten houdt op u op deze plaats op de hoogte.
Op donderdag 21 september 2017 verschijnt een nieuwe blog in deze reeks waarin Emiel de Joode uitvoerig zal ingaan op de informatieplicht uit hoofde van de AVG.
Menno van Koppen