Deze website maakt gebruik van cookies. Klik hier voor meer informatie.

Meest gestelde vragen over de AVG: Deel 2 – Toestemming niet altijd nodig

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de AVG. Deze wet roept veel vragen op bij organisaties. In deze blogserie gaan we in op enkele onderwerpen die we in de praktijk vaak voorbij zien komen. In deel 1 gaf Alexandra van Beelen tekst en uitleg over het verwerkingsregister. In deze tweede blog staat toestemming centraal.

Inleiding

Afgelopen week stond in de Volkskrant een artikel over een garagehoudster die zich op grond van de AVG verplicht voelde 2.400 brieven te versturen aan haar klanten. In deze brieven vroeg de garage toestemming aan haar klanten om deze per e-mail of sms een seintje te sturen wanneer het weer tijd is voor de periodieke onderhoudsbeurt. ‘Alleen al met het vouwen en in de enveloppen doen van de vragenlijsten was ik twee dagen bezig’ zo citeert de Volkskrant de garagehoudster.

Toestemming altijd vereist? Een wijdverbreid misverstand

Dat de AVG toestemming vereist voor elke gegevensverwerking van degene wiens persoonsgegevens verwerkt worden (‘de betrokkene’) is een wijdverbreid misverstand. De AVG vereist inderdaad (net als de huidige Wet bescherming persoonsgegevens) voor een rechtmatige verwerking van persoonsgegevens een rechtsgrond. En hoewel een van de mogelijke rechtsgronden inderdaad toestemming van de betrokkene is, kent de verordening nog vijf andere mogelijke rechtsgronden. De zes mogelijke gronden staan (limitatief) opgesomd in artikel 6 van de AVG en zijn, kort weergegeven:

  • de betrokkene heeft toestemming gegeven;
  • ter uitvoering van een overeenkomst of ter voorbereiding hiervan;
  • om te voldoen aan een wettelijke verplichting;
  • ter bescherming van de vitale belangen van de betrokkene of een ander;
  • de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag;
  • de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

In de casus van de garage had het het meest voor de hand gelegen de verwerking te baseren op de laatstgenoemde rechtsgrond, meestal kortweg aangeduid als: “gerechtvaardigd belang”. In de overwegingen van de AVG staat zelfs expliciet vermeld dat “de verwerking van persoonsgegevens ten behoeve van direct-marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.”

N.B. In sommige gevallen gooit de Telecommunicatiewet overigens wel roet in het eten. Deze vereist namelijk dat direct-marketing, waarbij gebruik wordt gemaakt van elektronische berichten (zoals SMS en e-mail), alleen toegestaan is als de geadresseerde daarvoor eerst toestemming heeft gegeven. De garagehoudster wordt echter geholpen door de uitzondering die wordt gemaakt voor bestaande klanten. Elektronische contactgegevens (zoals e-mailadressen) die een organisatie van bestaande klanten heeft verkregen mogen namelijk gebruikt worden voor het doen van aanbiedingen voor gelijksoortige producten of diensten. Wel moet er altijd een opt-out mogelijkheid worden geboden.

Kortom: de garage had de herinnering aan onderhoudsbeurten (en eventuele aanbiedingen daarvoor) gewoon per sms en e-mail aan haar klanten kunnen versturen zonder daar eerst toestemming voor te vragen.

Waarom liever geen verwerking op basis van toestemming?

Een verwerking wil je – indien mogelijk – ook liever baseren op een andere rechtsgrond dan toestemming.  Hier is een aantal goede redenen voor, de drie voornaamste zijn:

Ten eerste moet een verzoek om toestemming aan een aantal strenge eisen voldoen. Toestemming moet volgens de verordening vrij, specifiek en ondubbelzinnig zijn. Deze vereisten komen er kort gezegd op neer dat:

  • de toestemming in vrijheid moet zijn gegeven (en iemand dus ook zijn toestemming kan weigeren of intrekken zonder dat dit nadelige gevolgen voor hem heeft);
  • de betrokkene duidelijk geïnformeerd moet worden wáár hij precies toestemming voor geeft; en
  • dat de toestemming moet worden gegeven door middel van een duidelijke actieve handeling, waarbij er geen twijfel over bestaat dat de betrokkene daadwerkelijk toestemming heeft willen geven (dus géén vooraf aangevinkte opties).

Een tweede nadeel van toestemming als verwerkingsgrondslag is de administratieve rompslomp die dit met zich mee brengt. De AVG verplicht namelijk ook dat je kunt aantonen dát toestemming is gegeven. Dit is onderdeel van de verantwoordingsplicht. Hoe je moet aantonen dat toestemming is gegeven heeft de Europese wetgever niet gepreciseerd, maar het ligt voor de hand dat in ieder geval een register bijgehouden zal moeten worden waarin wordt vastgelegd door wie, voor wat, op welke manier (het proces) en op welk moment de toestemming is verleend.

De laatste reden waarom je een gegevensverwerking niet wilt baseren op toestemming is omdat toestemming altijd weer ingetrokken kan worden. De betrokkene moet al voordat hij toestemming geeft over dit recht worden geïnformeerd én het intrekken van de toestemming moet bovendien net zo gemakkelijk zijn als het geven ervan. Op het moment dat de betrokkene zijn toestemming intrekt vervalt de rechtsgrond, wordt het verwerken van de persoonsgegevens in beginsel onrechtmatig en zal de verwerking dus onmiddellijk moeten worden gestaakt

Conclusie

Dat de AVG organisaties verplicht om toestemming te vragen aan de betrokkene voor elke verwerking van zijn of haar persoonsgegevens is een groot misverstand. In verreweg de meeste gevallen wil je juist vermijden dat je verwerking is gebaseerd op toestemming. Het verzoek om toestemming moet namelijk aan strenge eisen voldoen, het brengt een hoop administratieve verplichtingen met zich mee en bovendien kan de betrokkene de toestemming weer intrekken, waarmee de rechtsgrond voor de verwerking vervalt en de verwerking in beginsel onrechtmatig wordt.

Hebt u vragen over de AVG of andere privacygerelateerde onderwerpen, neem dan vooral contact op met Rick Hemstra of Alexandra van Beelen.

Lees ook over de meest gestelde vragen over de AVG:

Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?

 

CONTACT Alexandra van Beelen
LEEUWARDEN Rick Hemstra
  • Incasso debiteuren, regel het goed! NAAR NIEUWS//
  • Automatisch gezag bij erkenning?
  • Restschuld na crisis; kan ik mijn bank daarvoor verantwoordelijk houden?
  • Geen huwelijkse voorwaarden? Toch blijft privé, wat privé was.
  • Ontslag nemen, lagere alimentatie?
  • Belangrijke termijn voor werknemers bij ontslag op staande voet
  • Dienstverband laten ‘slapen’ om geen transitievergoeding te hoeven betalen, is toegestaan
  • Twaalf jaar partneralimentatie?
  • Van twee naar vier ouders?
  • Overlast door huurders: wat vindt het Gerechtshof daarvan?
  • De failliete huurder: leegstandschade en de bankgarantie
  • Wetsvoorstel UBO-register omvat nieuwe ‘terugmeldingsplicht’ Wwft-instellingen
  • Is uw gedragsverklaring aanbesteden nog geldig?
  • Een werknemer met twee dienstverbanden? Houd rekening met de Arbeidstijdenwet!
  • Strafvervolging voor bestuurder van beboete rechtspersoon
  • Nieuw ROZ-model huurovereenkomst voor woonruimte
  • Het adviesrecht van de ondernemingsraad in geval van faillissement
  • Transitievergoeding ook verschuldigd bij dienstverband van exact 24 maanden
  • Onteigening Hedwigepolder: gaat de Hoge Raad om?
  • Koop breekt geen huur (maar soms wel in stukjes)
  • UAV-GC 2005: (gevolgen van) onvoorziene omstandigheden?
  • Parfums voor € 30,-. Moet Bol.com leveren?
  • Provincie Fryslân kan door met inpassingsplan
  • Valse reviews op internet: niet zonder consequenties
  • Transitievergoeding bij langdurig arbeidsongeschiktheid: geld terug?
  • Onteigening Hedwigepolder: Hoge Raad bevestigt rechtbankvonnis
  • Natrekking versus wegbreekrecht; voor wie gaat de zon op?
  • Nederlands huurstelsel niet in strijd met het eigendomsrecht
  • Belangrijk arrest HvJ EU over toepassing van de Dienstenrichtlijn bij bestemmingsplanregels over detailhandel
  • Goodwill valt niet onder tegemoetkoming in verhuis- en inrichtingskosten bij dringend eigen gebruik
  • De statutair directeur (deel 1) – Benoeming en indiensttreding
  • Overheid wil het aantal vechtscheidingen terugdringen
  • De statutair directeur (deel 2) – Ontslag: geen ontslagbescherming, maar niet vogelvrij
  • Verborgen camera’s: diefstal op de werkvloer NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden? NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 2 – Toestemming niet altijd nodig NAAR NIEUWS//
  • Bankbreuk; wat is dat eigenlijk? NAAR NIEUWS//
  • Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er? Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er?
  • Trip Advocaten & Notarissen trekt opnieuw ervaren juristen aan
  • Een brancheringsregeling in een bestemmingsplan: Mag dat?
  • Heeft u al een privacystatement voor uw werknemers?
  • Kwijtschelden van studiekosten kost u mogelijk meer dan u denkt
Stel Hier Uw Vraag contactformulier//