Terug naar blogs

De meest gestelde vragen over de AVG: deel 2 – Toestemming niet altijd nodig

22 maart 2018
|
Blogs

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de AVG. Deze wet roept veel vragen op bij organisaties. In deze blogserie gaan we in op enkele onderwerpen die we in de praktijk vaak voorbij zien komen. In deel 1 gaf Alexandra van Beelen tekst en uitleg over het verwerkingsregister. In deze tweede blog staat toestemming centraal.

Inleiding

Afgelopen week stond in de Volkskrant een artikel over een garagehoudster die zich op grond van de AVG verplicht voelde 2.400 brieven te versturen aan haar klanten. In deze brieven vroeg de garage toestemming aan haar klanten om deze per e-mail of sms een seintje te sturen wanneer het weer tijd is voor de periodieke onderhoudsbeurt. ‘Alleen al met het vouwen en in de enveloppen doen van de vragenlijsten was ik twee dagen bezig’ zo citeert de Volkskrant de garagehoudster.

Toestemming altijd vereist? Een wijdverbreid misverstand

Dat de AVG toestemming vereist voor elke gegevensverwerking van degene wiens persoonsgegevens verwerkt worden (‘de betrokkene’) is een wijdverbreid misverstand. De AVG vereist inderdaad (net als de huidige Wet bescherming persoonsgegevens) voor een rechtmatige verwerking van persoonsgegevens een rechtsgrond. En hoewel een van de mogelijke rechtsgronden inderdaad toestemming van de betrokkene is, kent de verordening nog vijf andere mogelijke rechtsgronden. De zes mogelijke gronden staan (limitatief) opgesomd in artikel 6 van de AVG en zijn, kort weergegeven:

  • de betrokkene heeft toestemming gegeven;
  • ter uitvoering van een overeenkomst of ter voorbereiding hiervan;
  • om te voldoen aan een wettelijke verplichting;
  • ter bescherming van de vitale belangen van de betrokkene of een ander;
  • de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag;
  • de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

In de casus van de garage had het het meest voor de hand gelegen de verwerking te baseren op de laatstgenoemde rechtsgrond, meestal kortweg aangeduid als: “gerechtvaardigd belang”. In de overwegingen van de AVG staat zelfs expliciet vermeld dat “de verwerking van persoonsgegevens ten behoeve van direct-marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.”

N.B. In sommige gevallen gooit de Telecommunicatiewet overigens wel roet in het eten. Deze vereist namelijk dat direct-marketing, waarbij gebruik wordt gemaakt van elektronische berichten (zoals SMS en e-mail), alleen toegestaan is als de geadresseerde daarvoor eerst toestemming heeft gegeven. De garagehoudster wordt echter geholpen door de uitzondering die wordt gemaakt voor bestaande klanten. Elektronische contactgegevens (zoals e-mailadressen) die een organisatie van bestaande klanten heeft verkregen mogen namelijk gebruikt worden voor het doen van aanbiedingen voor gelijksoortige producten of diensten. Wel moet er altijd een opt-out mogelijkheid worden geboden.

Kortom: de garage had de herinnering aan onderhoudsbeurten (en eventuele aanbiedingen daarvoor) gewoon per sms en e-mail aan haar klanten kunnen versturen zonder daar eerst toestemming voor te vragen.

Waarom liever geen verwerking op basis van toestemming?

Een verwerking wil je – indien mogelijk – ook liever baseren op een andere rechtsgrond dan toestemming.  Hier is een aantal goede redenen voor, de drie voornaamste zijn:

Ten eerste moet een verzoek om toestemming aan een aantal strenge eisen voldoen. Toestemming moet volgens de verordening vrij, specifiek en ondubbelzinnig zijn. Deze vereisten komen er kort gezegd op neer dat:

  • de toestemming in vrijheid moet zijn gegeven (en iemand dus ook zijn toestemming kan weigeren of intrekken zonder dat dit nadelige gevolgen voor hem heeft);
  • de betrokkene duidelijk geïnformeerd moet worden wáár hij precies toestemming voor geeft; en
  • dat de toestemming moet worden gegeven door middel van een duidelijke actieve handeling, waarbij er geen twijfel over bestaat dat de betrokkene daadwerkelijk toestemming heeft willen geven (dus géén vooraf aangevinkte opties).

Een tweede nadeel van toestemming als verwerkingsgrondslag is de administratieve rompslomp die dit met zich mee brengt. De AVG verplicht namelijk ook dat je kunt aantonen dát toestemming is gegeven. Dit is onderdeel van de verantwoordingsplicht. Hoe je moet aantonen dat toestemming is gegeven heeft de Europese wetgever niet gepreciseerd, maar het ligt voor de hand dat in ieder geval een register bijgehouden zal moeten worden waarin wordt vastgelegd door wie, voor wat, op welke manier (het proces) en op welk moment de toestemming is verleend.

De laatste reden waarom je een gegevensverwerking niet wilt baseren op toestemming is omdat toestemming altijd weer ingetrokken kan worden. De betrokkene moet al voordat hij toestemming geeft over dit recht worden geïnformeerd én het intrekken van de toestemming moet bovendien net zo gemakkelijk zijn als het geven ervan. Op het moment dat de betrokkene zijn toestemming intrekt vervalt de rechtsgrond, wordt het verwerken van de persoonsgegevens in beginsel onrechtmatig en zal de verwerking dus onmiddellijk moeten worden gestaakt

Conclusie

Dat de AVG organisaties verplicht om toestemming te vragen aan de betrokkene voor elke verwerking van zijn of haar persoonsgegevens is een groot misverstand. In verreweg de meeste gevallen wil je juist vermijden dat je verwerking is gebaseerd op toestemming. Het verzoek om toestemming moet namelijk aan strenge eisen voldoen, het brengt een hoop administratieve verplichtingen met zich mee en bovendien kan de betrokkene de toestemming weer intrekken, waarmee de rechtsgrond voor de verwerking vervalt en de verwerking in beginsel onrechtmatig wordt.

Hebt u vragen over de AVG of andere privacygerelateerde onderwerpen, neem dan vooral contact op met Alexandra van Beelen.

Lees ook over de meest gestelde vragen over de AVG:

Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?

Bericht delen op linkedin

Meer weten? Neem contact op met een van onze specialisten.

Gerelateerde nieuwsberichten

Al het nieuws

Blijf op de hoogte met onze nieuwsbrief

Mis niets meer en meld u aan voor onze nieuwsbrief.

Velden met een * zijn verplicht

Ik geef toestemming dat TRIP Advocaten Notarissen mijn e-mailadres gebruikt voor het toesturen van de nieuwsbrief. U kunt meer lezen in ons Privacy en cookiesbeleid.

Terug naar blogs
Contact image

Contact

Als grootste juridische adviespraktijk van Noord-Nederland staan wij centraal bij onze cliënten Wij werken in de provincies Groningen, Friesland en Drenthe (en ver daarbuiten) vanuit onze kantoren in Groningen, Leeuwarden en Assen.

Lees meer