Toestemming. Dé basis voor het gros van de verwerkingen van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG). Organisaties nemen massaal hun toevlucht tot het vragen van toestemming alvorens er persoonsgegevens verwerkt worden. Veelal overtuigd dat het ‘netjes vragen om toestemming’ uiteindelijk zal leiden tot minder gedoe en dat het een stoplicht op groen biedt, om vervolgens zonder al te veel oponthoud aan de slag te kunnen gaan met de voorgenomen verwerking. En dat terwijl een beroep op toestemming in veel gevallen niet alleen een stuk minder efficiënt is dan het gebruik van één van de andere grondslagen, maar het daarnaast ook een aantal risico’s met zich meebrengt.
Recap: de AVG en grondslagen
Voordat we ingaan op de grondslag toestemming en de mitsen en maren die kleven aan het gebruik van deze grondslag is het goed om eraan herinnerd te worden dat de verwerking van persoonsgegevens in veel gevallen echt niet staat of valt bij het al dan niet mogen beroepen op toestemming. Immers, er zijn nog vijf andere grondslagen die van toepassing kunnen zijn:
- Verwerken van persoonsgegevens ter uitvoering van een overeenkomst. Misschien wel de meest relevante grondslag onder de AVG. Bestel je bijvoorbeeld een pakketje bij een webshop, dan hoeft deze webshop echt niet om jouw toestemming te vragen om je adresgegevens te mogen delen met de bezorger. Het is toch logisch dat je bij het sluiten van een koopovereenkomst wenst dat de aankoop uiteindelijk op je deurmat terecht komt?
- Voldoen aan een wettelijke verplichting. Soms moet je persoonsgegevens verwerken, simpelweg omdat hier een wettelijke opdracht toe is. Denk hierbij bijvoorbeeld aan het bewaren van bepaalde persoonsgegevens voor de Belastingdienst.
- Om de vitale belangen van een betrokkene te behartigen. Hoewel deze grondslag zich niet vaak aandient is deze zeker vitaal te noemen. Hierbij draait het erom dat er gegevens van een betrokkene verwerkt mogen worden als die hier b.v. geen toestemming voor kan geven, maar het nodig is om zijn/haar leven te kunnen redden.
- Ter behartiging van een taak van algemeen belang of de uitoefening van openbaar gezag. Voor het overgrote deel gericht op overheden. Denk bijvoorbeeld aan het verwerken van persoonsgegevens door de burgermeester in het kader van zijn/haar verantwoordelijkheid van het handhaven van de openbare orde. Echter, ook niet-overheden kunnen zich hierop beroepen. Zo worden ook aan liefdadigheidsinstellingen dergelijke taken toegewezen.
- Voor de behartiging van een gerechtvaardigd belang. Een grondslag die allereerst een daadwerkelijk belang vereist, welke enkel behartigd kan worden middels de verwerking van een bepaalde set persoonsgegevens. Ook dient een belangenafweging gemaakt te worden om te kijken of de belangen van de betrokkenen niet zwaarder wegen dan dit gerechtvaardigd belang. Typische voorbeelden van het verwerken van persoonsgegevens op grond van een gerechtvaardigd belang: verwerkingen die noodzakelijk zijn voor het uitvoeren van bedrijfsprocessen, zoals het registeren van bezoekers aan uw kantoor.
Nadelen aan toestemming
De bovenstaande lijst doorlopende valt op dat er verschillende wegen bewandeld kunnen worden om persoonsgegevens te mogen verwerken. Toch is ‘toestemming’ verreweg de bekendste grondslag. Waarom is het dan niet zonder meer de meeste gewenste grondslag voor een verwerkingsverantwoordelijke?
Op deze vraag zijn diverse antwoorden mogelijk. Een eerste reden zit ‘m erin dat er aan rechtsgeldige toestemming flink wat eisen verbonden zijn. Dacht je dus dat je goed zat met je grondslag, blijkt dat nog niet alle zaakjes op orde waren. Zo moet de toestemming onder meer vrij (dus zonder dwang); ondubbelzinnig; op informatie berust; actief gegeven; en, zonder consequenties in te trekken zijn. In veel gevallen is dit simpelweg lastig te bewerkstellingen.
Daarnaast omvatten deze vereisten ook direct het tweede nadeel aan het gebruik van toestemming. Immers, gegeven toestemming kan altijd ingetrokken worden, zonder dat de betrokkene hiervoor een gegronde reden hoeft aan te dragen. Belangrijke processen die op de grondslag van toestemming (van meerdere personen) draaien lopen dus constant het risico om spaak te lopen, of in ieder geval ernstige vertraging te ondervinden doordat er ergens iemand zijn/haar toestemming intrekt.
Ook lijken verantwoordelijken zich in veel gevallen te vergissen in het feit dat gegeven toestemming een vrijbrief in zou houden voor het mogen verwerken van persoonsgegevens. Dit is namelijk niet het geval. Ook voor toestemming is een noodzakelijkheids- en proportionaliteitstoets nodig. Is de voorgenomen verwerking dus niet noodzakelijk om een vastgesteld doel te bereiken, dan heb je ook aan ontvangen toestemming niets.
Hoe dan wel?
Bij het nadenken over de verwerking van persoonsgegevens is het dus belangrijk om ook de alternatieven van toestemming te overwegen. Los van de vraag of toestemming in alle gevallen wel de meest gewenste resultaten met zich meebrengt, is het ontvangen van toestemming niet eens altijd noodzakelijk om de geplande verwerking doorgang te laten vinden.
In veel gevallen is de verwerking immers al onderdeel van een gegeven opdracht door de betrokkene. Nee, het is dus niet noodzakelijk om mij te vragen om mijn toestemming voor het verwerken van mijn gegevens, als ik ergens contractueel de opdracht toe geef! Ook snap ik dat mijn gegevens verwerkt worden om ervoor te zorgen dat ik mijn salaris ontvang aan het einde van de maand.
Valt het niet onder de uitvoering van de overeenkomst? Ook dan is er in sommige gevallen dus nog meer mogelijk. Een gerechtvaardigd belang ondervangt namelijk al verschillende verwerkingen van persoonsgegevens die ‘logisch’ en noodzakelijk zijn in het geval ze een geringe inbreuk maken op de privacy van betrokkenen.
