Blog over recht en ICT

      rechtenict@juridict.nl

Toestemming als grondslag voor verwerking

Om persoonsgegevens te mogen verwerken dien je daarvoor een wettelijke grondslag te hebben. De Algemene verordening gegevensbescherming (AVG) kent hiervoor zes verschillende grondslagen. Je bent als verwerkingsverantwoordelijke zelf verantwoordelijk om te beoordelen op welke van deze grondslagen je een verwerking van persoonsgegevens kunt baseren.

Zoals gezegd biedt de AVG zes grondslagen voor het verwerken van persoonsgegevens. Deze zijn:

  • Toestemming van de betrokken persoon. Op deze grondslag ga ik later in dit artikel specifiek in.

  • De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. Je mag een verwerking op deze grondslag baseren wanneer je een overeenkomst hebt met een partij en hierbij het verwerken van persoonsgegevens noodzakelijk is. De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.

  • De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. De verwerking van de persoonsgegevens is hierbij noodzakelijk  om aan een wettelijke verplichting te voldoen, zoals bijvoorbeeld het verstreken van gegevens voor de uitvoering van de belastingwet.

  • De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. Van een vitaal belang is sprake wanneer het gaat over een belang dat essentieel is voor iemands leven of gezondheid en je die persoon niet om toestemming kunt vragen.

  • De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. Dit kan alleen wanneer je een publieke taak uitoefent voor het algemeen belang of het openbaar gezag.

  • De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen. Dit belang moet rechtmatig en voldoende duidelijk verwoord aanwezig zijn. Dat is bijvoorbeeld het geval wanneer een verwerking aantoonbaar noodzakelijk is om een bedrijfsactiviteiten te verrichten zoals het voeren van een personeelsadministratie. Bij deze grondslag dient er tevens gelet te worden op de noodzakelijkheid ervan en dient er een belangenafweging te worden gemaakt.

Het verdient de voorkeur om verwerking van persoonsgegevens, alléén op basis van toestemming, te vermijden. De verwerking van persoonsgegevens wordt bij voorkeur gebaseerd op een of meer van de overige grondslagen voor verwerking. Hieronder licht ik dit verder toe.

Toestemming als grondslag voor een verwerking

De eisen die de AVG stelt aan de toestemming zijn opgenomen in art. 4 lid 11 AVG:

elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt

Op grond van dit artikel kunnen we vaststellen dat er slechts sprake is van een rechtsgeldig verleende toestemming op het moment dat een betrokkene door middel van een verklaring of een specifieke handeling toestemming heeft gegeven voor een verwerking van zijn persoonsgegevens. Zo’n specifieke handeling kan bijvoorbeeld bestaan uit het aanvinken van een vakje op een webpagina. Hierbij dient overigens wel het principe van privacy by default en privacy by design gevolgd te worden. Art. 7 lid 1 AVG legt hierbij de bewijslast van de verkregen toestemming bij de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Zorg er dus voor, wanneer je de toestemming als grondslag gebruikt, dat je kunt aantonen dat je die toestemming op de juiste manier heeft gevraagd en hebt gekregen.

Toestemming in vrijheid gegeven

Art. 4 lid 11 AVG geeft aan dat de betrokkene zijn toestemming in vrijheid dient te geven. De overweging bij de AVG geeft voor het principe van een vrije wilsuiting een verdere uitleg. Er kan slechts sprake zijn van een vrije wilsuiting wanneer een betrokkene de door de verwerkingsverantwoordelijke gevraagde toestemming kan weigeren zonder dat hij daarvan op enige wijze nadeel zal ondervinden. Daarvan is in elk geval geen sprake, zo stelt de overweging bij de AVG, wanneer de betrokkene ten opzichte van de verwerkingsverantwoordelijke afhankelijk is of als tussen de betrokkene en de verwerkingsverantwoordelijke een gezagsverhouding bestaat. In bijvoorbeeld de relatie tussen een overheidsinstantie en een betrokkene of in de relatie tussen werknemer en werkgever is de waarde van de toestemming als grondslag voor de verwerking van persoonsgegevens dan ook slechts van geringe waarde.

Art. 7 lid 4 AVG bepaalt verder, dat bij de beantwoording van de vraag of toestemming in vrijheid kan worden gegeven, onder meer in aanmerking wordt genomen dat het voor het kunnen aangaan van een overeenkomst is vereist dat toestemming wordt gegeven voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. De toestemming voor verwerking wordt dus geacht niet te zijn gegeven wanneer een overeenkomst worden aangegaan waarbij toestemming wordt verleend voor een daarvoor niet noodzakelijke verwerking van persoonsgegevens. Stel je voor dat een boek koopt via een webwinkel en hier worden naast je naw gegevens (nodig voor de verzending) nog andere, niet relevante, persoonsgegevens gevraagd, dan zal deze toestemming in beginsel niet rechtsgeldig zijn. Tevens moet het duidelijk zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden. Indien een verwerking meerdere doeleinden heeft, dient er voor elk van die verwekingen specifiek toestemming te worden verleend. Art. 7 lid 2 AVG bepaalt verder dat toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moet zijn opgesteld.

Het intrekken van de toestemming

Op grond van art. 7 lid 3 AVG heeft een betrokkene het recht om een eenmaal verleende toestemming, op ieder moment en zonder opgaaf van redenen, weer in te trekken. Dus ook al is er aantoonbaar sprake van een uit vrije wil verleende toestemming, dan nog is deze grondslag zeer onzeker. Het intrekken van toestemming dient even eenvoudig te zijn als het geven ervan. De betrokkene dient door de verwerkingsverantwoordelijke op dit recht te worden geattendeerd voordat hij de toestemming verleend. Wanneer een verwerking van persoonsgegevens uitsluitend op de toestemming van de betrokkene is gebaseerd dan komt de grondslag voor die verwerking volledig te vervallen op het moment dat de betrokkene zijn toestemming intrekt.

Kinderen joger dan 16 jaar

Nog een laatste opmerking en wel over de toestemming gegeven door kinderen die jonger zijn dat 16 jaar. De AVG geeft kinderen jonger dan 16 jaar, op grond van art. 8 lid 1 AVG, extra bescherming. Omdat kinderen de risico’s van een gegevensverwerking niet of minder goed kunnen inschatten dienen zij toestemming te hebben van de persoon die de ouderlijke verantwoordelijkheid draagt. Op grond van art. 8 lid 2 AVG is het aan de verwerkingsverantwoordelijke om dit te controleren. Ook dit dient weer aantoonbaar te worden vastgelegd.

Een onzekere basis

Toestemming is een onzekere basis als grondslag voor de verwerking van persoonsgegevens. Het verdient de voorkeur om verwerking van persoonsgegevens, alléén op basis van toestemming, te vermijden. De verwerking van persoonsgegevens wordt bij voorkeur gebaseerd op een of meer van de overige grondslagen voor verwerking.