Houd op met toestemming vragen!

Misschien een rare oproep, zo op de valreep voor 25 mei. Ik schreef de vorige keer al over de paniek die er heerst. In die paniek zie ik twee essentiele dingen vaak misgaan: er wordt veel te vaak toestemming gevraagd terwijl dat niet nodig is en er worden onterecht verwerkersovereenkomsten afgesloten, terwijl er geen sprake is van een verwerker. Op mijn eerste stelling zal ik nu nader ingaan. Op de tweede kom ik de volgende keer terug.

In principe heb je om ‘gewone’ persoonsgegevens te verwerken geen toestemming nodig. Gewone persoonsgegevens zijn dan bijvoorbeeld naam, adres, geboortedatum, rekeningnummer, telefoonnummer, emailadres. Voor de verwerking van deze persoonsgegevens volstaat een van de grondslagen uit artikel 6 AVG, zoals: het opvolgen van een wettelijke plicht (denk aan de fiscus die een kopie van je loonstrook krijgt, geen toestemming nodig), het uitvoeren van een overeenkomst (je geeft je adresgegevens omdat je online iets bestelt en het wilt laten bezorgen, geen toestemming nodig), het uitvoeren van een taak van algemeen belang (dit geldt voor overheidsorganen, denk aan het beoordelen van een vergunning, het inzamelen van afval, de sociale dienst: geen toestemming nodig) of het gerechtvaardigd belang van een bedrijf (google verzamelt bijvoorbeeld persoonsgegevens omdat ze hier zelf belang bij hebben, geen toestemming nodig). Ik denk dat in bijna 95% van de gevallen een van deze grondslagen volstaat. Toestemming is dan niet nodig en wekt alleen maar verwarring. Wanneer vraag je dan wel toestemming? Een aantal tips op een rij.

1. Als geen van de andere gronden uit artikel 6 van toepassing is en je per se iets met persoonsgegevens wilt doen. Ga dus eerst die andere gronden na! Toestemming als grondslag wil je graag vermijden, omdat mensen dit ook kunnen intrekken. Toestemming is trouwens niet zaligmakend en je kunt geen ongelimiteerde toestemming vragen. Toestemming moet vrij, specifiek en geinformeerd zijn gegeven. Verder moet je je nog steeds houden aan de andere privacy-regels.
   
   
2. Als je bijzondere persoonsgegevens gaat verwerken en er is geen wettelijke uitzondering van toepassing. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens over geloofsovertuiging, over seksuele geaardheid, medische gegevens of gegevens over ras of afkomst. Check dus eerst of een uitzondering van toepassing is! Bij foto’s van personen kan je het volgende aanhouden als je deze wil publiceren op internet. Portretfoto’s kunnen worden gezien als bijzondere persoonsgegevens: immers verwerking van ras/afkomst. Voor publicatie moet toestemming worden gevraagd. Voor huishoudelijk of prive gebruik geldt een uitzondering, net als voor journalistieke doeleinden. Voor foto’s van evenementen, voetbalwedstrijden of foto’s op drukbezochte publieke plekken moet je de afweging maken of de personen op de foto identificeerbaar zijn. Het moet dan gaan om identificeren zonder onevenredige inspanning. Dat zal je niet zo snel hebben bij bijvoorbeeld willekeurige voorbijgangers. Houd ook rekening met mogelijk compromiterende foto’s: zoenende stelletjes, half(naakte) mensen etc. Publicatie van dergelijke foto’s zal sneller worden gezien als inbreuk op de privacy.
   
   
3. Als je aan profiling wilt gaan doen.
   
   
4. Als je gegevens naar een land buiten de EU wilt overbrengen.
   
   
5. Als je commerciele nieuwsbrieven wilt versturen. Een spamverbod kennen we trouwens al lang en eigenlijk komen deze regels uit de Telecommunicatiewet, maar ik zie hier nu ook veel ophef over ontstaan. Ook in mijn eigen mailbox, met bedrijven die mij opnieuw om toestemming vragen. Overigens geldt hierbij dat een eerder gegeven toestemming gewoon geldig blijft. Je hoeft dus niet nu opnieuw toestemming te vragen als je deze eerder rechtsgeldig hebt verkregen. Enige uitzondering op het spamverbod (om het zo maar even te noemen) is dat je als bedrijf je bestaande klanten mag mailen met een commerciele boodschap over vergelijkbare producten.
   
   

Deze hiervoor onder 2 tot en met 5 genoemde redenen om toestemming te vragen komen bovenop de rechtmatige grondslag die je altijd moet hebben. Bij situatie 1 vormt de toestemming de rechtmatige grondslag. Vraag dus geen toestemming ‘voor de zekerheid’. Dat zie ik nogal eens gebeuren. Dat is juridisch gezien niet nodig en zorgt voor verwarring. Ga ook geen toestemming vragen om persoonsgegevens aan een verwerker te sturen. Dat is juridisch gezien ook niet nodig. Je mag als organisatie zelf bepalen wie je als verwerker inschakelt en de risico’s dek je af met de verwerkersovereenkomst. Dit alles staat overigens los van de privacypolicy, waarin je uitlegt wat je doet met de persoonsgegevens. De klant of inwoner moet wel weten dat jij die verwerker inschakelt, maar hoeft hiervoor geen toestemming te geven. Volgende keer meer over de verwerker!

Wolfje Mijnders
Eerder verschenen columns van Wolfje zijn hier te vinden.