Is stilzwijgende toestemming mogelijk wanneer het gaat om het delen van iemands persoonsgegevens? Het antwoord is nee, zowel onder de huidige wetgeving als onder de Algemene Verordening Gegevensbescherming (AVG). Hieronder leggen we uit hoe je wel data mag delen met bijvoorbeeld samenwerkingspartners.
Goede samenwerking is essentieel voor iedere organisatie, en een onderdeel daarvan kan het uitwisselen van klantdata zijn. In de meeste gevallen is daar echter toestemming voor nodig van de betrokkene, ook wanneer het voordeel of gemak biedt voor de klant.
Wat te denken van een onderwijsinstelling, die aan bedrijven de namen, telefoonnummers en e-mailadressen doorgeeft van studenten die binnenkort afstuderen en staan te springen om een interessante baan? Dit is vaak een win-win-situatie: de werkgever komt in contact met enthousiaste starters, de studenten kunnen kennismaken met potentiële werkgevers, en de opleider komt mogelijk gunstiger naar voren in lijstjes met baankansen.
Maar mag je nu zomaar de gegevens van ál je studenten doorgeven aan een werkgever die hierin geïnteresseerd is? De privacywetgeving stelt hier grenzen aan. Wanneer je van de betreffende studenten toestemming hebt gekregen voor het doorgeven van de gegevens, is er niets aan de hand. Je moet hen dan wel voldoende specifieke informatie hebben gegeven: wie krijgt welke gegevens, en wat mogen zij ermee? De toestemming krijg je dan bijvoorbeeld specifiek voor dat bedrijf A je e-mailadres of telefoonnummer krijgt, om je te benaderen voor functie B.
Wat nu als je een zogenaamde ‘opt-out’ biedt? Bijvoorbeeld: “we geven je e-mailadres door aan bedrijf A zodat zij jou kunnen benaderen voor functie B; mocht je hier geen prijs op stellen, dan horen wij dit graag deze week nog.” Volgt er vervolgens geen reactie, dan is er géén geldige toestemming gegeven volgens de privacywetgeving. In de AVG is dit ook expliciet vastgelegd: toestemming moet een actieve handeling zijn.
Zwijgen, of stilzitten (denk aan een congreszaal waar camera’s draaien, en mensen wel of niet weglopen) is geen toestemming. Evenmin het digitale equivalent ervan, zoals het niet reageren op een e-mail of het niet uitschakelen van een vooraf aangevinkt vakje in een webformulier (voor het versturen van reclame aan bestaande klanten bestaat een uitzondering).
Zijn er dan helemaal geen manieren om in het kader van een samenwerkingsverband persoonsgegevens te delen, zonder dat hiervoor toestemming nodig is? Er zijn mogelijkheden, maar daarvoor is wel een andere grondslag nodig onder de privacywet, zoals een overeenkomst met de betrokkene.
Het kan bijvoorbeeld zo zijn dat een onderdeel van de opleiding een stage is, waarbij de onderwijsinstelling bemiddelt tussen bedrijven en stagiaires. Of een onderwijsinstelling bemiddelt tussen afstudeerders en mogelijke werkgevers. Dit moet dan wel onderdeel zijn van de overeenkomst die de student met de onderwijsinstelling heeft, of er moet een aparte overeenkomst zijn afgesloten waarbij de student deze diensten afneemt. Hiermee mag de opleider (de daarvoor noodzakelijke) gegevens (in dit geval contactgegevens) van de student delen.
Toestemming is ook niet nodig wanneer beide organisaties een gerechtvaardigd belang hebben bij het delen van de gegevens, maar dit moet wel worden afgewogen tegen het privacybelang van de betrokkene. Privacy zal in veel gevallen zwaarder wegen.
Het delen van gegevens van bijvoorbeeld klanten, levert in veel gevallen belangrijke voordelen op voor alle partijen en lijkt vaak niet nadelig voor de betrokkenen. Toch zijn er vele redenen waarom iemand het niet zou kunnen waarderen dat zijn gegevens worden doorgegeven. Bijvoorbeeld het ontvangen van (commerciële) e-mails of telefoontjes waar iemand niet op zit te wachten.
Er kan niet van worden uitgegaan dat iemand die geen bezwaar maakt, toestemming geeft. Toestemming geven is onder de privacywetgeving namelijk een actieve handeling. Dus alleen data delen wanneer hiervoor akkoord is gegeven, is vaak raadzaam.
ICTRecht Academy verzorgt een basis- en verdiepingscursus privacywetgeving waarmee je gedegen privacykennis opbouwt en jouw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volg je beide cursussen dan krijg je het handboek AVG gratis. Heb jij een juridische achtergrond dan vind je hier onze privacytrainingen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.