GDPR (9) Toestemming van de betrokkene

28 september 2017

De beste basis om legaal persoonsgegevens te verwerken is toestemming krijgen van de betrokkene zelf. In de praktijk is dit echter lang niet zo vanzelfsprekend. En doordat die goedkeuring te allen tijde kan worden ingetrokken, houdt deze rechtsgrond ook een onzekerheid in.

De toestemming heeft al lang een plaats in de privacywetgeving, maar de regels zijn door de jaren steeds strenger geworden. Aanvankelijk kon je nog een soort stilzwijgende goedkeuring afdwingen, vaak als onderdeel van een ruimer contract en zonder een welbepaalde doelstelling. Vervolgens kwam de verplichting om het intrekken van deze goedkeuring mogelijk te maken (de zogenaamde ‘opt out’). De GDPR legt nu een hele reeks voorwaarden vast die je moet vervullen om van een rechtsgeldige toestemming te kunnen spreken (‘opt in’). De toestemming moet vrijwillig, actief, geïnformeerd en duidelijk gespecificeerd gegeven worden en moet even gemakkelijk weer ingetrokken kunnen worden.

Vrijwillig

Toestemming van de betrokkene kan niet als rechtsgrond gebruikt worden als er geen evenwichtige verhouding is tussen de verantwoordelijke en de betrokkene. Dit geldt bijvoorbeeld voor de relatie tussen werknemer en werkgever. De werknemer verkeert immers meestal niet in de positie om te weigeren.

De toestemming mag ook niet worden gekoppeld aan het verlenen van een service, behalve als de gegevens direct noodzakelijk zijn om de overeenkomst te kunnen uitvoeren. In dat geval is de rechtsgrond echter de contractuele noodzaak en wordt er voor de duidelijkheid ook beter geen toestemming gevraagd. Goedkeuring voor gegevensgebruik in latere marketing- en reclamecampagnes mag ook geen onderdeel zijn van een af te sluiten contract of van algemene voorwaarden. Dit is voor de GDPR enkel geldig als beide handelingen gescheiden kunnen gebeuren.

Actief

De betrokkene moet zelf een duidelijk statement maken of een actieve handeling verrichten om aan te geven dat hij zijn toestemming verleent voor een welbepaalde verwerking. Elke geschikte werkwijze of methode is hiervoor toegelaten. De GDPR somt zelf de meest gangbare methoden op: mondeling of schriftelijk je toestemming geven, een checkbox aanklikken of een instelling binnen een browser of een app activeren. Nieuw is dat de GDPR expliciet uitsluit dat dit stilzwijgend of door inactiviteit zou gebeuren. Een vooraf aangevinkte checkbox bijvoorbeeld is uit den boze. Een ‘opt-out’ functie of een ‘unsubscribe’ knop niet gebruiken is evenmin een geldige toestemming. Dit is een erg belangrijke voorwaarde voor alle organisaties die direct marketing campagnes opzetten.

Geïnformeerd

De betrokkene moet vooraleer je hem om zijn toestemming vraagt, omstandige informatie krijgen over de identiteit van de verantwoordelijke, de geplande verwerkingen, de doelstelling en de wettelijke grond en over de genomen maatregelen om zijn data te beschermen. Dit moet gebeuren in eenvoudige en heldere bewoordingen en op een eerlijke manier. Er moet één duidelijke lijn zijn tussen de doelstelling, de gegevens die precies daarvoor nodig zijn en de te geven goedkeuring. Een geschikte vorm om deze communicatie te doen is een gedetailleerd uitgewerkte privacy verklaring. Welke informatie daarin moet staan en hoe je die best beschikbaar stelt aan de betrokkenen, behandelen we uitvoerig in een latere aflevering van de blog.

Specifiek en zonder ambiguïteit

Toestemming tot het verwerken van persoonsgegevens wordt altijd gegeven voor een duidelijk doel. De verantwoordelijke mag de gegevens dan ook niet voor andere doeleinden aanwenden, tenzij de nieuwe doelstelling heel dicht aanleunt bij de oorspronkelijke. Een goed voorbeeld is het contacteren van een vroegere of bestaande klant om hem te informeren over een product of dienst, verwant aan wat hij vroeger al heeft aangekocht.

Speciale aandacht is nodig als je overweegt gegevens op een andere manier te combineren of voor een totaal ander doel te gebruiken. Datamining is in deze context een probleem. Deze techniek wordt onder meer voor marketing geregeld aangewend om binnen grote hoeveelheden informatie mogelijke patronen of onverwachte verbanden te ontdekken, zodat er geen vooropgesteld doel is. De GDPR laat in gevallen van hergebruik van data wel ruimte voor een versoepeling . Je kan de expliciete goedkeuring van de betrokkene alsnog vragen bij het eerstvolgende gebruik van de data.

Toestemming is intrekbaar

In elk geval moet je de betrokkene informeren dat hij steeds zijn toestemming kan intrekken. Dit moet kunnen met een eenvoudige handeling, even gemakkelijk als het geven van de toestemming zelf. De GDPR legt deze verplichting nu overduidelijk bij de verantwoordelijke.

Hoewel deze aanpak fair en logisch lijkt, is de praktische uitwerking niet altijd even evident. Zeker omdat de GDPR verplicht dat de verantwoordelijke duidelijk moet kunnen aantonen dat de betrokkenen hun toestemming wel degelijk gaven. Later in deze blog geven we hiervoor nog concrete tips.

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING