Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Eén grondslag ‘to rule them all’. Of toch niet?

25 september 2019 Door

Toestemming. Dé basis voor het gros van de verwerkingen van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG). Organisaties nemen massaal hun toevlucht tot het vragen van toestemming alvorens er persoonsgegevens verwerkt worden. Veelal overtuigd dat het ‘netjes vragen om toestemming’ uiteindelijk zal leiden tot minder gedoe en dat het een stoplicht op groen biedt, om vervolgens zonder al te veel oponthoud aan de slag te kunnen gaan met de voorgenomen verwerking. En dat terwijl een beroep op toestemming in veel gevallen niet alleen een stuk minder efficiënt is dan het gebruik van één van de andere grondslagen, maar het daarnaast ook een aantal risico’s met zich meebrengt.

Recap: de AVG en grondslagen

Voordat we ingaan op de grondslag toestemming en de mitsen en maren die kleven aan het gebruik van deze grondslag is het goed om eraan herinnerd te worden dat de verwerking van persoonsgegevens in veel gevallen echt niet staat of valt bij het al dan niet mogen beroepen op toestemming. Immers, er zijn nog vijf andere grondslagen die van toepassing kunnen zijn:

  • Verwerken van persoonsgegevens ter uitvoering van een overeenkomst. Misschien wel de meest relevante grondslag onder de AVG. Bestel je bijvoorbeeld een pakketje bij een webshop, dan hoeft deze webshop echt niet om jouw toestemming te vragen om je adresgegevens te mogen delen met de bezorger. Het is toch logisch dat je bij het sluiten van een koopovereenkomst wenst dat de aankoop uiteindelijk op je deurmat terecht komt?
  • Voldoen aan een wettelijke verplichting. Soms moet je persoonsgegevens verwerken, simpelweg omdat hier een wettelijke opdracht toe is. Denk hierbij bijvoorbeeld aan het bewaren van bepaalde persoonsgegevens voor de Belastingdienst.
  • Om de vitale belangen van een betrokkene te behartigen. Hoewel deze grondslag zich niet vaak aandient is deze zeker vitaal te noemen. Hierbij draait het erom dat er gegevens van een betrokkene verwerkt mogen worden als die hier b.v. geen toestemming voor kan geven, maar het nodig is om zijn/haar leven te kunnen redden.
  • Ter behartiging van een taak van algemeen belang of de uitoefening van openbaar gezag. Voor het overgrote deel gericht op overheden. Denk bijvoorbeeld aan het verwerken van persoonsgegevens door de burgermeester in het kader van zijn/haar verantwoordelijkheid van het handhaven van de openbare orde. Echter, ook niet-overheden kunnen zich hierop beroepen. Zo worden ook aan liefdadigheidsinstellingen dergelijke taken toegewezen.
  • Voor de behartiging van een gerechtvaardigd belang. Een grondslag die allereerst een daadwerkelijk belang vereist, welke enkel behartigd kan worden middels de verwerking van een bepaalde set persoonsgegevens. Ook dient een belangenafweging gemaakt te worden om te kijken of de belangen van de betrokkenen niet zwaarder wegen dan dit gerechtvaardigd belang. Typische voorbeelden van het verwerken van persoonsgegevens op grond van een gerechtvaardigd belang: verwerkingen die noodzakelijk zijn voor het uitvoeren van bedrijfsprocessen, zoals het registeren van bezoekers aan uw kantoor.

Nadelen aan toestemming

De bovenstaande lijst doorlopende valt op dat er verschillende wegen bewandeld kunnen worden om persoonsgegevens te mogen verwerken. Toch is ‘toestemming’ verreweg de bekendste grondslag. Waarom is het dan niet zonder meer de meeste gewenste grondslag voor een verwerkingsverantwoordelijke?

Op deze vraag zijn diverse antwoorden mogelijk. Een eerste reden zit ‘m erin dat er aan rechtsgeldige toestemming flink wat eisen verbonden zijn. Dacht je dus dat je goed zat met je grondslag, blijkt dat nog niet alle zaakjes op orde waren. Zo moet de toestemming onder meer vrij (dus zonder dwang); ondubbelzinnig; op informatie berust; actief gegeven; en, zonder consequenties in te trekken zijn. In veel gevallen is dit simpelweg lastig te bewerkstellingen.

Daarnaast omvatten deze vereisten ook direct het tweede nadeel aan het gebruik van toestemming. Immers, gegeven toestemming kan altijd ingetrokken worden, zonder dat de betrokkene hiervoor een gegronde reden hoeft aan te dragen. Belangrijke processen die op de grondslag van toestemming (van meerdere personen) draaien lopen dus constant het risico om spaak te lopen, of in ieder geval ernstige vertraging te ondervinden doordat er ergens iemand zijn/haar toestemming intrekt.

Ook lijken verantwoordelijken zich in veel gevallen te vergissen in het feit dat gegeven toestemming een vrijbrief in zou houden voor het mogen verwerken van persoonsgegevens. Dit is namelijk niet het geval. Ook voor toestemming is een noodzakelijkheids- en proportionaliteitstoets nodig. Is de voorgenomen verwerking dus niet noodzakelijk om een vastgesteld doel te bereiken, dan heb je ook aan ontvangen toestemming niets.

Hoe dan wel?

Bij het nadenken over de verwerking van persoonsgegevens is het dus belangrijk om ook de alternatieven van toestemming te overwegen. Los van de vraag of toestemming in alle gevallen wel de meest gewenste resultaten met zich meebrengt, is het ontvangen van toestemming niet eens altijd noodzakelijk om de geplande verwerking doorgang te laten vinden.

In veel gevallen is de verwerking immers al onderdeel van een gegeven opdracht door de betrokkene. Nee, het is dus niet noodzakelijk om mij te vragen om mijn toestemming voor het verwerken van mijn gegevens, als ik ergens contractueel de opdracht toe geef! Ook snap ik dat mijn gegevens verwerkt worden om ervoor te zorgen dat ik mijn salaris ontvang aan het einde van de maand.

Valt het niet onder de uitvoering van de overeenkomst? Ook dan is er in sommige gevallen dus nog meer mogelijk. Een gerechtvaardigd belang ondervangt namelijk al verschillende verwerkingen van persoonsgegevens die ‘logisch’ en noodzakelijk zijn in het geval ze een geringe inbreuk maken op de privacy van betrokkenen.

Jorden Bailey

Juridisch adviseur

Jorden Bailey werkt als juridisch adviseur bij ICTRecht, en maakt onderdeel uit van het privacyteam. Binnen ICTRecht houdt Jorden zich voornamelijk bezig met juridische vraagstukken en het geven van praktische adviezen op het gebied van privacy. Ook is Jorden bij uitstek thuis in het adviseren over de inzet van biometrische technologieën, zoals gezichtsherkenning.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie