In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de "Algemene Verordening Gegevensbescherming (AVG)" met zich meebrengt.
In dit blog: wat verandert aan de manier waarop toestemming moet worden gevraagd (nummer 4)?
Soms zal uw organisatie toestemming moeten vragen om persoonsgegevens te verwerken.
Een veelgehoord misverstand over de nieuwe privacywet is dat er straks áltijd toestemming moet worden gevraagd. Dat is niet juist. Toestemming is één van de zes "grondslagen/rechtsgronden" op basis waarvan persoonsgegevens mogen worden verwerkt.
Vaak komt het er in de praktijk op neer dat, wanneer het niet mogelijk is om de persoonsgegevens te verwerken op basis van één van de andere vijf genoemde grondslagen/rechtsgronden, toestemming moet worden gevraagd.
De nieuwe privacywet stelt uitgebreidere eisen voor het vragen van toestemming.
Wanneer uw organisatie dus toestemming vraagt of dat moet doen, zal moeten worden nagegaan of die toestemming voldoet aan de nieuwe eisen.
Als uw organisatie toestemming vraagt of moet vragen, zal als voorbereiding op de nieuwe privacywetgeving moeten worden nagegaan of die toestemming voldoet aan de volgende eisen:
1. De toestemming wordt gevraagd voordat de persoonsgegevens worden verzameld.
2. De persoon wordt vooraf geïnformeerd specifiek over het gebruik van de gegevens waar de persoon toestemming voor geeft.
Daarbij moet de volgende informatie worden gegeven:
- U moet aangeven voor welk soort gebruik (welke doeleinden) de toestemming wordt gegeven. De persoon moet de toestemming geven voor alle doeleinden waarvoor de gegevens worden gebruikt.
Dus bijvoorbeeld: informatie over surfgedrag dat via cookies wordt verzameld wordt gebruikt voor het analyseren van surfgedrag om zelf gepersonaliseerde aanbiedingen te doen en voor het doorgeven van die informatie aan derde partijen zodat zij gepersonaliseerde aanbiedingen kunnen doen.
Als uw organisatie veel persoonsgegevens gebruikt, of de persoonsgegevens voor veel verschillende doeleinden gebruikt, is het aan te raden om per soort gebruik (per doeleinde) "gelaagde" toestemming te vragen. Bijvoorbeeld door meerdere vinkjes te laten zetten per soort gebruik.
Let op: Het is niet voldoende om in het algemeen te verwijzen naar de privacyverklaring en de websitebezoeker daar mee akkoord te laten gaan. Dit geldt niet als geïnformeerde toestemming.
- U moet de identiteit van uw bedrijf bekend maken.
- De persoon moet worden geïnformeerd over het feit dat de toestemming altijd weer kan worden ingetrokken.
3. De toestemming moet worden gegeven door middel van een duidelijke bevestigende handeling van de persoon.
Bijvoorbeeld: het aanvinken van een checkbox op een website, het aanpassen ("aanzetten") van settings in een account op een website, het verschuiven van een knopje op een telefoon of het zetten van een handtekening onder een formulier.
Het uitblijven van een reactie of voor-aangevinkte checkboxes gelden dus niet als uitdrukkelijk bevestigende handelingen.
4. De toestemming moet vrijelijk worden gegeven:
De persoon mag niet onder druk worden gezet om toestemming te geven, bijvoorbeeld door te zeggen dat alleen gebruik mag worden gemaakt van de diensten als de persoon toestemming geeft voor het gebruik van de gegevens.
Maar: gegevens die uw organisatie echt nodig heeft voor het voorbereiden of uitvoeren van de overeenkomst vallen hier buiten.
Als de persoonsgegevens niet noodzakelijk zijn voor het uitvoeren van de overeenkomst met de persoon, en uw organisatie maakt de toegankelijkheid van de dienst afhankelijk van de toestemming voor het verwerken van de persoonsgegevens, dan wordt de toestemming vermoed niet vrij te zijn gegeven.
Wanneer de persoon in een afhankelijke relatie staat van uw organisatie, bijvoorbeeld werknemers, wordt in het algemeen aangenomen dat de toestemming niet vrij wordt gegeven. Alleen als het de persoon écht vrijstaat om "nee" te zeggen, kan de toestemming geldig zijn.
5. Gaat het om toestemming voor het gebruik van gegevens van kinderen (personen onder de 16 jaar) in een online context?
Dan moet u in plaats van de toestemming van het kind, de toestemming vragen van de ouders of wettelijke vertegenwoordigers (voogden).
Het is niet altijd mogelijk om de leeftijd van een betrokken persoon na te gaan. Uw organisatie zal wel de nodige moeite moeten doen om te achterhalen of de persoon ouder is dan 16 en of de ouders of wettelijk vertegenwoordigers toestemming hebben gegeven. Daarbij mag uw organisatie rekening houden met de status van de technische voorzieningen op het moment dat u het vraagt.
In de praktijk kan uw organisatie er voor kiezen om personen onder de 16 jaar helemaal geen toegang te geven tot de diensten. Als uw organisatie dat wel toestaat zal moeten worden gevraagd naar de leeftijd van de persoon en om een bevestiging en verificatie dat de ouders of wettelijk vertegenwoordigers toestemming hebben gegeven.
6. Als toestemming wordt gevraagd middels een schriftelijk verklaring die ook op andere onderwerpen ziet, dan moet de toestemming voor het gebruik van de gegevens duidelijk worden gescheiden van die andere onderwerpen. De informatie moet worden gegeven in een begrijpelijke en makkelijke toegankelijke vorm.
7. Uw organisatie zal moeten kunnen aantonen dat de persoon toestemming heeft gegeven en dat is voldaan aan de hiervoor genoemde voorwaarden. Het is dus van belang om dit bij te houden in de (elektronische) administratie.
Let op: Als een persoon eenmaal toestemming heeft gegeven mag hij of zij de toestemming altijd weer op een makkelijke manier intrekken. Uw organisatie moet dan voor de toekomst staken met het gebruik van de gegevens (tenzij uw organisatie, in uitzonderlijke gevallen, een beroep kan doen op een andere grondslag. Dit kan dus in sommige gevallen betekenen dat toestemming niet een praktische grondslag is.
Actiepunt: nagaanof uw organisatie toestemming vraagt, of moet vragen, en nagaan of die toestemming voldoet aan de daar aan gestelde eisen.
In deze blogserie:
1. Bewerkersovereenkomsten uitbreiden
2. Nieuwe regels over gegevens van kinderen
3. Datamap aanleggen
4. Toestemmingseisen worden strenger
5. Regels over profilering
6. Soms is een Privacy Impact Assessment (PIA) verplicht
7. Soms is een Functionaris Gegevensbescherming (FG) verplicht
8. Het recht op "dataportabiliteit"
9. Waar mogelijk "privacy by design" en "privacy by default" toepassen
10. Privacyverklaring moet uitgebreider
Versturen