Op welke manier krijg ik toestemming voor het verwerken van persoonsgegevens?
Wanneer je online diensten of producten aanbiedt verwerk je hoogstwaarschijnlijk persoonsgegevens. Wanneer je dat doet, eist de Wet bescherming persoonsgegevens dat je daar toestemming voor vraagt van deze personen. Zonder toestemming kan je slechts in zeer beperkte gevallen iemands naam, adres, e-mailadres en dergelijke gebruiken voor je diensten, website of bedrijfsactiviteiten. Maar het vragen van toestemming is in de praktijk lastig. Hier een aantal handige tips
Kort gezegd moet toestemming op dusdanige wijze worden verkregen dat er geen twijfel mogelijk is dat degene wiens gegevens worden verwerkt hier daadwerkelijk mee instemt. Er moet dus een expliciete mededeling of actieve handeling zijn geweest waaruit de toestemming blijkt. Het bekende aanvinkvakje “Ik wil graag op de nieuwsbrief” is een voorbeeld van een actieve handeling: wie dat aanvinkt, wil echt op de nieuwsbrief.
Twijfelachtig is toestemming die in een privacyreglement of algemene voorwaarden wordt gevraagd. Dat is meestal niet expliciet genoeg; algemene voorwaarden hoeven immers niet gelezen te worden om geldig te zijn. Wellicht dat “Ik ben akkoord met het privacyreglement” genoeg is, maar dat is nog nooit getest. Het probleem is namelijk dat dit een nogal generieke toezegging is. Uit de rechtspraak blijkt dat bijvoorbeeld “Ik aanvaard dat mijn gegevens worden gepubliceerd” niet genoeg is – er moet bij staan waar en hoe de publicatie zal gebeuren.
Stilte of passiviteit kan nooit leiden tot geldige toestemming. En daaronder vallen ook standaardinstellingen van een website, aldus de privacytoezichthouders. Het CBP noemt het voorbeeld van iemand die zich bijvoorbeeld aanmeldt bij een sociale netwerksite waar zijn persoonlijke gegevens standaard voor ‘vrienden van vrienden’ zijn. Die site heeft daarvoor geen toestemming, want die is niet apart gevraagd.
Toestemming moet worden gegeven voordat de verwerking van persoonsgegevens start of vóór elk nieuw gebruik van gegevens. Ook moet toestemming altijd ingetrokken kunnen worden, waarna de verwerking moet worden gestaakt tenzij er een andere wettelijke grondslag is.
Opmerkelijk is nog dat men opmerkt dat zinnen over toestemming geen juridisch jargon mogen bevatten. Deze teksten moeten voor iedereen begrijpelijk zijn. Een goede tip!
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.