Toestemming' is een woord dat altijd opduikt in nieuws en discussies over privacy, en het is gemakkelijk te begrijpen waarom. Iedereen weet wat toestemming betekent, althans in alledaagse zin. Iedereen zou het idee van toestemming in verband met individuele autonomie en vrijheid leuk moeten vinden. Het is cool om te denken dat je gegevens van jou zijn en niet tegen je wil mogen worden gebruikt.
Aan de andere kant, omdat iedereen toestemming in alledaagse zin begrijpt, is het gemakkelijk om in een aantal veelgemaakte fouten te vervallen en de juridische gevolgen ervan te overschatten. Deze blog beantwoordt twee veel voorkomende vragen over toestemming in de GDPR en geeft je een duidelijker beeld van wat toestemming is en hoe het werkt.
- Kan ik alles doen zolang ik toestemming heb?
- Heb ik altijd toestemming nodig onder de GDPR?
- Wat is uitdrukkelijke toestemming?
- Zijn uw gegevens altijd van u?
- Heb ik altijd toestemming nodig voor cookies?
- Slotopmerkingen
Laten we erin duiken!
Kan ik alles doen zolang ik toestemming heb?
Nee, dat kan niet. Er zijn dingen die je simpelweg niet kunt doen, met of zonder toestemming. De GDPR bevat een lange lijst met verplichtingen voor de gegevensbeheerder. Het overtreden van deze regels is een overtreding, zelfs als de betrokkenen toestemming geven voor alles wat je doet.
Het dataminimalisatiebeginsel1 betekent bijvoorbeeld dat je alleen de gegevens mag verwerken die je nodig hebt voor je doel en niet meer dan dat. Als u zich bijvoorbeeld aanmeldt voor onze geweldige privacy-nieuwsbrief, kunnen we u niet vragen om uw huisadres op te geven, omdat we uw e-mail alleen nodig hebben om het nieuws te bezorgen. Het verzamelen van uw huisadres voor dit doel zou in strijd zijn met de GDPR, zelfs met uw toestemming.
Evenzo moeten persoonsgegevens altijd op een veilige manier worden verwerkt2. Onveilige verwerking is een schending, zelfs als de gebruiker uitdrukkelijk instemt met de onveilige verwerking van zijn gegevens. De GDPR trekt zich in dit geval simpelweg niets aan van toestemming.
Conclusie: Naleving is meer dan het verzamelen van toestemming, en toestemming is geen oplossing voor niet-naleving.
Heb ik altijd toestemming nodig onder de GDPR?
Nee, dat hoeft niet. U kunt rechtmatig gegevens verwerken zonder toestemming, maar dan hebt u een andere rechtsgrondslag nodig.
Volgens het rechtmatigheidsbeginsel is voor de verwerking van persoonsgegevens altijd een rechtsgrondslag nodig. De GDPR noemt zes rechtsgronden3</a> (vaak rechtsgronden genoemd) waaruit u kunt kiezen, elk met zijn eigen vereisten en beperkingen. Telkens wanneer u persoonsgegevens verwerkt, moet u een van deze gronden kiezen en u daaraan houden. Toestemming is een van die gronden, maar een beroep op een andere rechtsgrond is in sommige scenario's volkomen legitiem.
Stel bijvoorbeeld dat u de website van een online schoenenwinkel beheert. Wanneer een klant bij de winkel koopt, heeft de verkoper factuurgegevens, een leveringsadres, de schoenmaat van de klant en wat contactgegevens nodig om ervoor te zorgen dat de levering goed verloopt. Al deze informatie zijn persoonsgegevens, en voor de verwerking ervan is een rechtsgrondslag nodig.
U hebt in dit geval drie opties:
- u kunt de toestemming van de gebruiker verzamelen voordat de aankoop wordt afgerond;
- u kunt zich beroepen op de "uitvoering van een overeenkomst" (in dit geval de verkoop);
- u kunt zich beroepen op het "gerechtvaardigd belang van de voor de verwerking verantwoordelijke" (in dit geval het belang van de winkel om zaken te doen).
Als u legitiem belang of uitvoering van een overeenkomst als rechtsgrond kiest, hoeft u geen toestemming te vragen. In dit geval zijn alle drie de opties perfect conform, en is de keuze tussen de drie een kwestie van het afwegen van de voor- en nadelen van elke optie.
Voor alle duidelijkheid: aan elke rechtsgrond zijn specifieke eisen verbonden. Dit betekent dat geen enkele rechtsgrond van toepassing is op elk mogelijk scenario. U kunt zich bijvoorbeeld niet beroepen op de "uitvoering van een overeenkomst" om promotiemateriaal naar uw klanten te sturen, dat verder gaat dan wat strikt noodzakelijk is om de overeenkomst uit te voeren. En als u "gerechtvaardigd belang" als rechtsgrondslag kiest, moet u uw belang afwegen tegen de rechten van de betrokkene.
Net als andere rechtsgronden, zijn er ook aan toestemming eisen verbonden onder de GDPR: de toestemming moet vrij gegeven, geïnformeerd, specifiek en ondubbelzinnig zijn4, en het moet mogelijk zijn om de toestemming te allen tijde in te trekken5. Als niet aan deze vereisten kan worden voldaan, is een andere rechtsgrond nodig6.
Een rechtsgrond moet dus per geval worden gevonden. Soms zijn er meerdere gronden beschikbaar. Op andere momenten is er slechts één beschikbaar, of helemaal geen, wat betekent dat de gegevens niet kunnen worden verwerkt.
Wat is uitdrukkelijke toestemming?
De GDPR noemt ook een "speciale" vorm van toestemming, namelijk uitdrukkelijke toestemming.
Expliciete toestemming is een uitzondering op verschillende regels betreffende gevoelige gegevens, geautomatiseerde besluitvorming en gegevensoverdrachten7. Of toestemming al dan niet expliciet is, is dus alleen van belang in specifieke situaties; een daarvan is de verwerking van gevoelige gegevens. Zoals wij hebben uitgelegd, zou dit scenario in de nabije toekomst vrij vaak kunnen voorkomen.
Expliciete toestemming moet voldoen aan alle vereisten voor "gewone" toestemming en bovendien expliciet zijn. Deze extra eis is enigszins vaag8, maar als vuistregel kun je expliciete toestemming zien als een zeer ondubbelzinnige toestemming9.
Zijn uw gegevens altijd van u?
Zoals gezegd staat de GDPR in sommige gevallen de verwerking van persoonsgegevens zonder iemands toestemming toe. Hoe kunnen we dan eerlijk zeggen dat jouw gegevens van jou zijn en dat jij hebt besloten wat ermee wordt gedaan?
Het zit zo. De GDPR beschermt de privacy, maar dat is niet het enige doel ervan. De GDPR stelt dat het recht op gegevensbescherming niet absoluut is en moet worden afgewogen tegen andere rechten10. Dit evenwicht is wat de GDPR uiteindelijk nastreeft.
In veel gevallen is een beroep op toestemming onmogelijk, maar moeten gegevens toch worden verwerkt. Zo moet een bedrijf dat online met een klant onderhandelt over een contract, zijn contactgegevens gebruiken. Toestemming kan niet werken omdat zij de klant zouden moeten contacteren om toestemming te verzamelen - en zij zouden zijn gegevens moeten verwerken om dat te doen. In dit geval is het in ieders belang dat de gegevens zonder toestemming worden verwerkt.
Geen toestemming gebruiken betekent niet dat de betrokkene geen bescherming krijgt. Alle rechtsgronden hebben hun eigen beperkingen, die de betrokkenen enige bescherming bieden. Soms biedt toestemming minder bescherming dan andere gronden.
Werkgevers kunnen bijvoorbeeld geen werknemersgegevens verwerken op basis van toestemming11 omdat zij in een positie verkeren om de werknemer onder druk te zetten om toestemming te geven. De GDPR verbiedt werkgevers dus om toestemming te gebruiken, maar biedt hun ook andere gronden voor de verwerking van gegevens. Deze gronden geven de werknemer een zekere mate van bescherming, wat beter is dan helemaal geen bescherming.
Heb ik altijd toestemming nodig voor cookies?
Zoals we al zeiden, is voor "niet-essentiële" cookies altijd toestemming nodig volgens de ePrivacy-richtlijn. De ePrivacy-richtlijn is ouder dan de GDPR, en er is enige overlap tussen beide. En beide zijn van toepassing op cookies, aangezien cookies altijd persoonsgegevens zijn.
Deze overlapping is belangrijk in de praktijk. Vanwege de ePrivacy-richtlijn is voor "niet-essentiële" cookies altijd toestemming nodig. En vanwege de GDPR moet deze toestemming geïnformeerd zijn. Daarom vereisen websites die op cookies gebaseerde analytics gebruiken, zoals Google Analytics, cookiebanners die bepaalde informatie verstrekken over de verwerking van cookies. Zonder die informatie is de toestemming niet geïnformeerd en geldig onder de GDPR.
Slotopmerkingen
De bescherming van persoonsgegevens is belangrijk. De GDPR heeft richtlijnen gegeven en de grenzen bepaald voor wat mogelijk is en wat niet. Als bedrijf moet u zich aan deze wetten houden om de privacy van uw klanten te beschermen. Navigeren door deze privacywetgeving kan lastig blijken omdat er veel is wat je moet bevatten en waar je rekening mee moet houden, zoals hierboven weergegeven.
Met een duidelijk kader en duidelijke processen loopt uw bedrijf minder risico op datalekken of andere gevaren. Het principe van gegevensminimalisatie volgen, alleen informatie verzamelen die strikt noodzakelijk is om uw bedrijf te runnen, is echter een grote eerste stap.
Bij Simple Analytics geloven we dat u geen persoonlijke gegevens hoeft te verzamelen of cookies hoeft te installeren om bruikbare inzichten te krijgen in uw website analytics. Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers en tegelijkertijd de inzichten biedt die u nodig heeft om uw bedrijf te runnen. Als dit resoneert met u, voel je vrij om ons te proberen.
#1 Art. 5(1)(c) GDPR [^2]: Art. 5(1)(f) en 32 GDPR. [^3]: Art. 6(1) GDPR. [^4]: Art. 4(11) GDPR. [^5]: Art. 7.3 GDPR. [^6]: Bijvoorbeeld: toestemming kan niet vrijelijk worden gegeven in het kader van een arbeidsverhouding, met slechts zeer beperkte uitzonderingen. Zie EDPB-richtsnoeren 05/2020 over toestemming onder Verordening 2016/679. [^7]: Art. 9(2)(a), 22(2)(c), en 49(1)(a) GDPR [^8]: We hebben wel enige richtsnoeren van de EDPB-richtsnoeren 05/2020 over toestemming, hoofdstuk IV, maar geen echte definitie [^9]: Er is ook betoogd dat expliciete toestemming apart moet worden verzameld. Zie Kuner, Christopher en anderen (eds), The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020; Oxford University Press), p. 185. [^10]: Overweging 47 [^11]: EDPB Richtsnoeren 05/2020 over toestemming, par. 21 e.v.