Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Toestemming voor het verwerken van persoonsgegevens onder de nieuwe privacywet

Vrijwel iedereen kent ze, de toestemmingsvragen die met enige regelmaat op je laptop- of telefoonscherm verschijnen. De bedoeling hiervan is dat de gebruiker instemt met het verwerken van persoonsgegevens door de eigenaar van de website of app, en mogelijk ook door anderen. Deze toestemming verkrijgen, is vaak wettelijk verplicht. Zeer positief dus, wanneer u als bedrijf een dergelijke toestemmingsvraag gebruikt.

Echter, zeker met de komst van nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming) vanaf 25 mei 2018, is het goed om de manier waarop toestemming wordt gevraagd te herzien. Toestemming is namelijk pas toestemming, wanneer deze aan de volgende voorwaarden voldoet:

  • de toestemming moet specifiek zijn;
  • de toestemming moet op informatie berusten;
  • de toestemming moet in vrijheid gegeven zijn;
  • de toestemming moet een actieve handeling zijn.

Dit klinkt heel logisch, maar biedt nog geen handvatten voor hoe je in de praktijk toestemming kunt krijgen. En laat dat nu één van de belangrijkste onderdelen van de Europese privacywetgeving zijn: het niet of niet juist verkrijgen van toestemming, kan straks worden bestraft met boetes tot 20 miljoen euro of 4% van de jaaromzet. Dat is iets wat iedereen wil voorkomen.

De International Association of Privacy Professionals heeft daarom een gids gemaakt met praktische voorbeelden van hoe je op een juridisch juiste wijze toestemming krijgt (én hoe dat juist niet moet!). Het document richt zich op de ‘gebruikerservaring’, de ‘user interface’ van een app of website.

Afgeraden wordt bij toestemming vragen voor het verwerken van persoonsgegevens:

  • dat er op een (kleine, niet opvallende) button met een vraagteken geklikt moet worden om meer informatie te krijgen over wat er met de persoonsgegevens gebeurt.
  • alleen melden: “Als je de cookies niet accepteert, werken sommige onderdelen van de website minder goed”. Maak in plaats daarvan duidelijk om welke onderdelen het dan precies gaat.
  • om woorden te gebruiken als ‘bijvoorbeeld’, ‘onder andere’. Maak in plaats daarvan duidelijk welke partijen de gegevens nog meer krijgen, en voor welke doelen.
  • een keuze te ‘promoten’ door deze vetgedrukt, groter, of in een andere kleur weer te geven, of door aan te geven dat iets een standaardoptie is, dat de meerderheid ergens voor kiest, of dat het bedrijf het aanraadt.

Aangeraden wordt bij toestemming vragen voor het verwerken van persoonsgegevens:

  • om direct in de toestemmingsvraag een korte uitleg te geven: wie krijgen welke gegevens, voor welke doelen? En uiteraard een link op te nemen naar de privacyverklaring (let op: toestemming kan niet worden verkregen via een privacyverklaring alleen, dit is slechts een informatiedocument).
  • om duidelijk aan te geven wat het gevolg is als je geen toestemming geeft. Bijvoorbeeld: wanneer u uw locatiegegevens uitschakelt, is het niet mogelijk om real-time uw route uit te stippelen (voor een navigatie-app).
  • om alle doelen waarvoor, en alle partijen waardoor de gegevens worden gebruikt, te benoemen.
  • om alle opties op dezelfde wijze weer te geven, zodat de gebruiker zelf een keuze maakt.

De IAPP brengt nog een aantal andere (psychologische) inzichten over het geven van toestemming naar voren. Wanneer je twee keuzes onder elkaar toont, worden beide opties als gelijkwaardig gezien. Wanneer er twee keuzes naast elkaar worden getoond, wordt de rechter optie als ‘standaard’ gezien. Het ‘grijs/wazig’ weergeven van een knop ‘volgende’ maakt mensen zich er meer van bewust dat ze een keuze maken.

Als er geen daadwerkelijke keuze is (je móét toestemming geven om een dienst te kunnen gebruiken), dan is het van belang om na te gaan of toestemming wel de juiste grondslag is om persoonsgegevens te mogen verwerken. Wellicht kunt u de gegevens dan alleen verwerken op grond van een overeenkomst, of een gerechtvaardigd belang dat opweegt tegen de privacyinbreuk.

Let daarnaast op het volgende. Bij het aanbieden van ‘diensten van de informatiemaatschappij’ (zoals een online spel of sociaal netwerk) aan kinderen onder de 16 jaar, dient u na te gaan of er toestemming van een ouder of wettelijk vertegenwoordiger van het kind is. Toestemming moet te allen tijde kunnen worden ingetrokken, op een gemakkelijke manier, bijvoorbeeld door het klikken op een afmeldlink. Toestemming moet ook kunnen worden bewezen. Houd dus logs bij: wie heeft toestemming gegeven en waarvoor precies?

Het document van de IAPP is geen officiële uitleg door een wetgever, toezichthouder of rechter, maar wel nuttig bij het praktisch vormgeven van toestemmingsvragen.

Meer weten over privacywetgeving en het verwerken van persoonsgegevens?

Heeft u een vraag over (bijvoorbeeld toestemming voor) het verwerken van persoonsgegevens? Volg één van onze privacytrainingen of neem contact op met de privacyjuristen van ICTRecht. Bel 020 663 1941, of stuur een e-mail naar info@ictrecht.nl.

Fay Kartner

Oud-medewerker ICTRecht

Fay Kartner was werkzaam bij ICTRecht als juridisch adviseur. Fay maakte onderdeel uit van het privacyteam.


Er zijn 5 reacties

  1. Een mooi en helder artikel Fay!
    Waar ik benieuwd naar ben is hoe je toestemming zou moeten vragen als je IP-adressen van zakelijke bezoekers verzamelt om die door een derde partij te laten verrijken. (Zoals bijvoorbeeld Snoobi) Uiteindelijk worden die gegevens gebruik voor marketing en/of sales doeleinden.
    Dank alvast!

  2. Ik heb zojuist gemiddelde instellingen voor jullie website ingesteld. Nu kan ik deze instellingen nergens meer wijzigen, tenzij ik (alle) cookies verwijder.

    Ben je als website/bedrijf verplicht om de gebruiker deze instellingen te allen tijde te kunnen laten wijzigen?

  3. Ik lees het volgende in uw informatie: De bedoeling hiervan is dat de gebruiker instemt met het verwerken van persoonsgegevens door de eigenaar van de website of app.
    Ik verzamel ook gegevens van mijn klanten, niet via website of app maar gewoon aan de kassa met een klantenkaart.
    Wat betekend de nieuwe wet voor mij?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie