Toestemming vragen conform de AVG: een hoge drempel

Eén van de grondslagen die de AVG geeft voor het verwerken van persoonsgegevens, is de toestemming van de betrokkene. Toestemming wordt vaak gezien als een eenvoudige manier om de verwerking van persoonsgegevens te legitimeren. In de praktijk zitten er echter veel haken en ogen aan het vragen van toestemming. In deze blog komen de verschillende eisen aan bod, die vervolgens worden samengevat in een handig stappenplan. 

Aan welke eisen moet ik voldoen?

1. Vrijelijk gegeven 

Ten eerste moet de toestemming vrijelijk worden gegeven. Dit houdt in dat de betrokkene een oprechte keuze heeft om akkoord te gaan met de verwerking van zijn persoonsgegevens. 

Er is geen sprake van geldige toestemming als de betrokkene zich gedwongen voelt om akkoord te gaan met de verwerking. Stel dat een betrokkene wordt gevraagd om akkoord te gaan met de algemene voorwaarden of een bepaalde overeenkomst te ondertekenen. In deze situatie mag de betrokkene niet worden gevraagd om met één en dezelfde handeling ook toestemming te geven voor het verwerken van zijn persoonsgegevens. Met andere woorden: naast de verwerkering van persoonsgegevens, mag toestemming niet (ook) zien op andere zaken. Stel dat een betrokkene wel de algemene voorwaarden wil accepteren, maar geen toestemming wil geven voor het verwerken van zijn persoonsgegevens. Als dat niet mogelijk is, dan loopt de betrokkene het risico om benadeeld te worden.

Nadeel

Het moet mogelijk zijn voor de betrokkene om toestemming te weigeren of in te trekken, zonder (mogelijk) negatieve consequenties. Het verlenen van toestemming mag niet tot gevolg hebben dat de betrokkene kosten moet maken, wordt geïntimideerd, bedrogen of gedwongen. De organisatie die om toestemming vraagt moet dit kunnen aantonen. 

Afhankelijkheid

De betrokkene mag niet in vergaande mate afhankelijk zijn van de organisatie die de persoonsgegevens verwerkt. De grondslag toestemming leent zich bijvoorbeeld slecht voor toepassing in de arbeidsrelatie. Door de ongelijke machtsverhouding, die inherent is aan een arbeidsrelatie, is een werknemer in de meeste situaties afhankelijk van zijn werkgever. Dit maakt het geven van “vrije” toestemming door een werknemer al snel complex. Een werkgever kan zich slechts op deze grondslag beroepen als de werknemer overduidelijk geen nadeel zal ondervinden door toestemming te geven voor de verwerking.

2. Specifiek

Uit de vraag moet duidelijk blijken waarvoor de toestemming van de betrokkene wordt gevraagd. De eerste stap is het formuleren van een expliciet doel voor de verwerking van persoonsgegevens. De organisatie die om toestemming vraagt moet zo concreet mogelijk zijn:

• Het verlenen van toestemming voor de verwerking van persoonsgegevens “voor marketing doeleinden” of “zoals vermeld in de Privacy Policy” is volgens de AVG niet specifiek genoeg.

• Het "geven van toestemming voor de verwerking van persoonsgegevens zoals vermeld in de Privacy Policy” is te generiek omschreven en daardoor ook niet specifiek genoeg.

• Vragen om toestemming “voor het versturen van een wekelijkse nieuwsbrief met updates over onze producten” is wel specifiek genoeg, en voldoet daarom aan de AVG.

Meerdere doelen

Wat nou als een organisatie persoonsgegevens wil verwerken voor meerdere doelen? In dat geval moet er voor elk apart doel (opnieuw) om toestemming worden gevraagd. Zo kan de betrokkene per specifiek bepaald doel zijn toestemming verlenen of weigeren, in plaats van één keer zijn “gebundelde” toestemming te verlenen.  

3. Geïnformeerd

Er kan pas toestemming worden verleend als de betrokkene op toegankelijke wijze is geïnformeerd over:

• De identiteit van de organisatie;

• Het doel van elke verwerkingsactiviteit waarvoor toestemming wordt gevraagd;

• Welk (type) persoonsgegevens er worden verwerkt;

• Het bestaan van het recht om toestemming weer in te trekken;

• De (eventuele) toepassing van geautomatiseerde besluitvorming;

• De risico’s van de doorgifte van persoonsgegevens.

Het is gebruikelijk om de betrokkene door te verwijzen naar de Privacy Policy* van een organisatie, waarin bovenstaande informatie op een duidelijke manier wordt gepresenteerd. In dat geval moet het doel van de verwerking alsnog beknopt worden vermeld bij de officiële vraag om toestemming. Het desbetreffende doel kan vervolgens nader worden uitgewerkt in de Privacy Policy.

* Heeft jouw organisatie nog geen Privacy Policy? Stel dit document eenvoudig met behulp van onze software via deze link.

4. Ondubbelzinnig

Toestemming moet blijken uit een actieve handeling van de betrokkene, zoals een mondelinge toezegging of het aanvinken van een opt-in box. De AVG verbiedt het gebruik van een opt-out box: een checkbox die door de organisatie alvast is aangevinkt. Op die manier wordt de betrokkene de mogelijkheid ontnomen om zelf een actieve handeling te verrichten om toestemming te verlenen. Ook inactief gebruik van een website, bijvoorbeeld door te scrollen of swipen, kwalificeert niet als een actieve handeling van de betrokkene.

Aantonen van toestemming

Een organisatie moet kunnen aantonen dat een betrokkene toestemming heeft verleend voor de verwerking. Hoe dit bewijs wordt vormgegeven is niet relevant, zolang een organisatie maarkan aantonen dat de betrokkene op geldige wijze toestemming heeft verleend. Denk bijvoorbeeld aan het bijhouden van een (online) lijst, met de volgende informatie: 

• De manier waarop er toestemming is verleend door de betrokkene;

• Op welk moment de betrokkene toestemming heeft verleend;

• Op welke manier de betrokkene vooraf is geïnformeerd over de verwerking van zijn persoonsgegevens (vaak via de Privacy Policy)

Het is raadzaam om na bepaalde tijdsintervallen opnieuw toestemming te vragen, zodat de betrokkene altijd up-to-date is over de verwerking van zijn persoonsgegevens en (nog steeds) achter zijn toestemming staat.  

Intrekken van toestemming

Een betrokkene moet zijn verleende toestemming ook altijd weer kunnen intrekken. De manier waarop toestemming kan worden ingetrokken, moet net zo eenvoudig zijn als de manier waarop er ooit toestemming is verleend. Als een organisatie gebruikmaakt van een opt-in functie, dan moet de betrokkene zijn toestemming ook weer eenvoudig kunnen intrekken door één klik op de knop. Het intrekken van toestemming heeft overigens geen terugwerkende kracht. Alle verwerkingsactiviteiten die door een organisatie ooit zijn gebaeeerd op deze grondslag, blijven geldig. Toekomstige verwerkingen, die niet meer kunnen worden gebaseerd op toestemming, moeten worden gestaakt.

Stappenplan: hoe vraag ik om toestemming?

Bestaat er twijfel binnen jouw organisatie of er wel op de juiste manier om toestemming wordt gevraagd? Volg dan dit stappenplan, met een recap van alle eisen die aan bod zijn gekomen in deze blog. 

Stap 1: Vrijelijk gegeven

• Zorg dat er geen sprake is van een ongelijke verhouding tussen de betrokkene en jouw organisatie;

• Stel vast dat de betrokkene zich niet gedwongen voelt om toestemming te geven;

• Zorg ervoor dat toestemming “los” wordt gevraagd, dus zonder de vraag te verbinden aan het accepteren van algemene voorwaarden of een contract.
 

Stap 2: Specifiek

• Formuleer het doel voor de verwerking van persoonsgegevens zo specifiek mogelijk en informeer de betrokkene;

• Vraag voor elk afzonderlijk doel apart om toestemming (opt-in);
 

Stap 3: Geïnformeerd

• Zorg dat de betrokkene is geïnformeerd over:

• de identiteit van jouw organisatie;

• het doel of de doelen voor de verwerking;

• de (soort) persoonsgegevens die worden verwerkt;

• het recht om toestemming in te trekken

• Controleer of de informatie toegankelijk en makkelijk te begrijpen is voor je publiek.
 

Stap 4: Ondubbelzinnige actieve handeling

• Controleer of de informatie (stap 3) is verschaft voordat de betrokkene toestemming heeft verleend;

• Beoordeel of de betrokkene een duidelijke actieve handeling heeft verricht om toestemming te verlenen, zoals een mondeling toezegging of het aanvinken van een opt-in box.

Stap 5: Aantonen & intrekken 

• Zorg dat je kunt bewijzen dat de betrokkene op een geldige manier toestemming heeft verleend;

• Faciliteer de mogelijkheid voor de betrokkene om zijn toestemming in te trekken. Het intrekken van toestemming moet net zo eenvoudig zijn als het verlenen van toestemming. 

Heb je hulp nodig bij het vragen van toestemming of andere privacy gerelateerde vraagstukken? Neem dan contact met Legalloyd Advocaten & Legal Tech. Wij hebben veel ervaring met het opstellen van privacy contracten en het adviseren dagelijks start-ups, scale-ups en grown-ups over (strategische) privacy vraagstukken.