Stel je voor: je bent net lid geworden van een sportschool. Je tekent voor de jaardeal en meteen daarna ontvang je een stroom aan mails over voedingssupplementen die je eigenlijk helemaal niet wilt.
▶Inhoudsopgave
Of je downloadt een handige app voor je boodschappenlijstje, en vervolgens blijkt die app al je contacten te uploaden naar een server in een ver land. Herkenbaar? Dan heb je waarschijnlijk te maken met de regels rondom toestemming.
In de wereld van privacy, en specifiek de AVG, is toestemming de meest bekende grondslag. Maar het is ook de meest misbruikte. Laten we eens duiken in wanneer toestemming echt werkt en wanneer het gewoon een loos gebaar is.
Wat is toestemming eigenlijk?
Volgens de Algemene Verordening Gegevensbescherming (AVG) mag je niet zomaar persoonsgegevens van mensen verwerken.
Je hebt daar een geldige reden voor nodig, een zogenaamde 'grondslag'. Er zijn zes mogelijke grondslagen, maar toestemming is er eentje die we allemaal kennen. Het klinkt simpel: jij vraagt, de ander zegt ja, en klaar is Kees. Toch is het in de praktijk vaak een ingewikkeld verhaal.
Toestemming is een onafhankelijke grondslag. Dat betekent dat het niet afhankelijk is van een contract of een wettelijke plicht.
Het is echt de vrije wil van de persoon. De Autoriteit Persoonsgegevens (AP) houdt hier scherp toezicht op.
Zij kijken niet alleen naar het ja-woord, maar naar de hele situatie eromheen.
Wanneer werkt toestemming wél?
Om te zorgen dat toestemming geldig is, moeten er een paar harde eisen worden gesteld.
1. Vrijelijk gegeven
Dit zijn geen tips, dit zijn regels. Als je je hier niet aan houdt, is je toestemming namelijk niks waard.
Dit is de belangrijkste voorwaarde. De persoon moet echt de keuzevrijheid hebben. Er mag geen druk zijn, geen angst voor negatieve gevolgen en geen oneerlijke invloed. Stel je voor: een werkgever vraagt aan een werknemer om toestemming te geven voor het bijhouden van zijn internetgedrag.
2. Ondubbelzinnig
De werknemer voelt zich onder druk gezet, want hij wil zijn baan niet kwijtraken.
In zo’n geval is de toestemming niet vrijelijk gegeven en dus ongeldig. Een ander voorbeeld is een website die pas toegang geeft tot de inhoud als je akkoord gaat met alle cookies, terwijl er geen 'weigeren'-knop is. Dat is geen vrije keuze; dat is chantage.
3. Specifiek
De instemming moet duidelijk zijn. Geen gissen, geen verborgen clausules in een bos van algemene voorwaarden.
De persoon moet actief iets doen, zoals het aanklikken van een hokje of het drukken op een knop.
Stilzitten of het automatisch doorgaan van een proces telt niet als ondubbelzinnige toestemming. Bij de AP zijn ze hier streng in. Als je een formulier gebruikt waarbij het hokje voor toestemming al is aangevinkt, dan is dat geen geldige toestemming.
De gebruiker moet zelf actief die keuze maken. Toestemming is niet een 'once in a lifetime'-deal.
4. Geïnformeerd
Je kunt niet één keer toestemming vragen en dan voor altijd doen wat je wilt.
Als je gegevens gebruikt voor een heel ander doel dan waarvoor je ze hebt gekregen, moet je opnieuw toestemming vragen. Stel: je hebt toestemming gekregen voor het versturen van een wekelijkse nieuwsbrief.
- Wat je gaat verwerken (welke gegevens).
- Waarom je dat doet (het doel).
- Of de gegevens worden doorgegeven aan derden.
- Hoe lang je de gegevens bewaart.
Dan mag je die e-mailadressen niet zomaar gebruiken voor gepersonaliseerde advertenties op social media. Dat is een ander doel, dus dat vereist een nieuwe, specifieke toestemming. Je kunt geen toestemming krijgen als de persoon niet weet waar hij ja op zegt. Je moet duidelijk maken:
Denk aan een app die vraagt om toegang tot je contacten. Als de app niet uitlegt waarom ze die contacten nodig hebben (bijvoorbeeld om vrienden te vinden binnen de app), dan is de toestemming niet geldig.
5. Een keuze om te intrekken
Je moet de informatie in helder en simpel Nederlands geven, zonder vakjargon. Toestemming geven is vrijwillig, en toestemming intrekken moet dat ook zijn. De persoon moet altijd de mogelijkheid hebben om zijn toestemming in te trekken.
Dit moet net zo makkelijk zijn als het geven van toestemming. Als iemand zich moet afmelden via een ingewikkeld telefoongesprek of een betaald nummer, dan voldoe je niet aan de eisen. Een simpele 'uitschrijf'-link onderaan een e-mail is vaak de norm.
Wanneer werkt toestemming juist niet?
Er zijn situaties waarin toestemming als grondslag gewoon niet werkt, zelfs niet als je denkt dat je het goed doet. Dit zijn de valkuilen waar veel organisaties intrappen.
De ongelijke machtsverhouding
Zoals hierboven al even genoemd: er mag geen sprake zijn van een duidelijk ongelijke machtsverhouding. Dit speelt vaak bij overheden, artsen of werkgevers. Stel, een gemeente vraagt om toestemming voor het verwerken van persoonsgegevens voor een vergunning.
Contractuele noodzaak
Omdat de burger afhankelijk is van de gemeente, is die toestemming niet vrijwillig.
De gemeente moet dan een andere grondslag gebruiken, zoals een wettelijke verplichting. Een veelgemaakte fout is het verwarren van toestemming met een contract. Je mag gegevens verwerken die noodzakelijk zijn voor de uitvoering van een overeenkomst; het is daarom essentieel om de juiste wettelijke grondslag te kiezen voor elke verwerking. Je hoeft daar geen toestemming voor te vragen.
Stel: je sluit een abonnement af bij een webshop. De webshop heeft je adres nodig om het pakketje te bezorgen.
Je hoeft hier niet expliciet toestemming voor te vragen; dit valt onder de uitvoering van het contract. Als je wel om toestemming vraagt, kan dit misleidend zijn omdat de klant denkt dat het verplicht is. Soms is de druk subtieler.
Verborgen druk en oneerlijke voorwaarden
Denk aan een zorgverzekeraar die een korting aanbiedt als je meedoet aan een gezondheidsapp.
Klinkt leuk, maar als de korting zo hoog is dat het bijna onmogelijk is om 'nee' te zeggen, is de toestemming niet vrijwillig. De Autoriteit Persoonsgegevens kijkt hier streng naar: als de 'nee'-optie te duur of te moeilijk is, telt de 'ja' niet. Voor kinderen onder de 16 jaar gelden extra regels.
Gegevens van kinderen
Hun toestemming is alleen geldig als de ouder of voogd deze geeft. Veel social media platforms, zoals Instagram of TikTok, hebben hiermee te maken.
Ze moeten controleren of er daadwerkelijk toestemming van ouders is gegeven. Doe je dat niet, dan ben je in overtreding.
Hoe check je of toestemming geldig is?
Wil je zeker weten dat je op de juiste manier te werk gaat?
- Is de toestemming actief gegeven? (Geen standaard aangevinkte hokjes.)
- Weten mensen precies wat ze toestaan?
- Kunnen ze makkelijk weer 'nee' zeggen?
- Zit er geen druk achter hun keuze?
Vraag jezelf dan het volgende af: Als je op al deze vragen 'ja' kunt antwoorden, zit je waarschijnlijk goed. Is er twijfel? Gebruik dan een andere grondslag, zoals gerechtvaardigd belang als grondslag of 'wettelijke verplichting'. Dat is soms veiliger.
Conclusie
Toestemming is een krachtige grondslag, maar het is geen quick fix. Het vereist zorgvuldigheid, transparantie en respect voor de keuzevrijheid van de gebruiker. In een tijd waarin data steeds waardevoller wordt, is het verleidelijk om zo veel mogelijk gegevens te verzamelen.
Maar als je dat doet op basis van ongeldige toestemming, bouw je een kaartenhuis dat snel omvalt.
Hou het simpel: vraag alleen wat je nodig hebt, leg uit waarom je het nodig hebt, en maak het makkelijk om nee te zeggen. Dan bouw je niet alleen een AVG-proof bedrijf, maar ook vertrouwen bij je gebruikers. En dat vertrouwen is op de lange termijn veel meer waard dan een lijst vol onbetrouwbare e-mailadressen.
Veelgestelde vragen
Wat is de AVG-grondslag voor toestemming?
Volgens de AVG is toestemming een aparte grondslag, wat betekent dat je persoonsgegevens niet zomaar mag verwerken. Je hebt een duidelijke reden nodig, zoals het toesturen van nieuwsbrieven over supplementen, maar de persoon moet zelf actief toestemming moeten geven, bijvoorbeeld door een hokje aan te vinken of op een knop te drukken. De Autoriteit Persoonsgegevens houdt hier nauwlettend toezicht op.
Wat zijn de 4 pijlers van toestemming?
De vraag over de 4 pijlers van seksuele toestemming is irrelevant voor dit artikel over privacy. Toestemming moet vrijwillig zijn, zodat de persoon zonder druk of angst voor negatieve gevolgen kan kiezen. Daarnaast moet de toestemming specifiek zijn voor de beoogde verwerking, en moet de persoon volledig op de hoogte zijn van wat er met zijn gegevens gebeurt.
Wat is een wettelijke verplichting als grondslag?
Een wettelijke verplichting kan als grondslag dienen wanneer de wet precies aangeeft welke gegevens je mag verwerken en onder welke voorwaarden. Toestemming is hier echter een alternatief, omdat het de persoon volledige controle geeft over zijn gegevens. Het is belangrijk dat de wettelijke verplichting duidelijk en voorspelbaar is.
Wat zijn de 7 soorten toestemming?
De vraag over de 7 soorten toestemming is niet relevant voor dit artikel. Er zijn in feite slechts twee belangrijke vormen van toestemming: expliciete toestemming (een duidelijke 'ja') en impliciete toestemming (bijvoorbeeld door het accepteren van algemene voorwaarden). Het is cruciaal dat de toestemming altijd vrijwillig en specifiek is.
Wanneer mag je toestemming als rechtsgrondslag gebruiken?
Toestemming is nodig wanneer er geen andere wettelijke grondslag is, zoals een contract of een wettelijke verplichting. Denk bijvoorbeeld aan het delen van gegevens met een derde partij, of het gebruiken van gegevens voor een doel dat niet overeenkomt met de oorspronkelijke bedoeling. De persoon moet dan opnieuw toestemming vragen.