De Privacy Consultant
Meesters in het privacyrecht

Toestemming als grondslag

Inleiding

Toestemming is een van de grondslagen voor het verwerken van persoonsgegevens. Informatie over de andere grondslagen kunt u hier vinden.

Indien men een beroep doet op toestemming als grondslag, dan dient er sprake te zijn van een

  • vrije
  • specifieke
  • geïnformeerde
  • ondubbelzinnige verklaring of ondubbelzinnige actieve handeling.1

In het geval er bijzondere persoonsgegevens worden verwerkt, dient er uitdrukkelijk toestemming te zijn verkregen.2

Na het verkrijgen van toestemming, dient dit ergens te worden geregistreerd. De verwerkingsverantwoordelijke moet immers bewijzen dat zij toestemming heeft gekregen van de betrokkene.3

De AVG introduceert een strenger regime voor wat betreft het geven van toestemming, vergeleken met de oude richtlijn. De regels en rechtspraak omtrent het geven van toestemming op grond van de oude richtlijn 95/46/eg zijn derhalve nog steeds van toepassing, doch dienen deze te worden gelezen in het licht van de strengere AVG. 4

Vrijelijk geven van toestemming

Geen overeenkomst vereist

Bij de beoordeling van de vraag of toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van de overeenkomst toestemming vereist is die niet noodzakelijk is voor de uitvoering van die overeenkomst.5

Indien men een nieuwe bank op het internet bestelt, zijn bepaalde gegevens vereist. De naam en adres van de betrokkene zijn vereist voor het leveren van de bank. De grondslag voor het verwerken van deze gegevens betreft dan ook geen toestemming, maar de koopovereenkomst. Indien de verkoper voorts toestemming vraagt voor het verwerken van bijvoorbeeld de gezinssamenstelling, dan moet de betrokkene de keuze hebben om hier geen toestemming voor te geven. Het geven van toestemming is immers niet noodzakelijk voor de levering van de bank.

Om te bepalen of het geven van toestemming gekoppeld is aan het aangaan van een overeenkomst, of 'slechts' samengevoegd wordt met deze rechtshandeling, dient te worden vastgesteld wat de werkingssfeer van de overeenkomst is en welke gegevens nodig zijn voor de uitvoering van de overeenkomst.6

Geen wanverhouding

Wil toestemming vrijelijk worden gegeven, dan mag er geen duidelijke wanverhouding bestaan tussen de betrokkene en de verwerkingsverantwoordelijke. Hierbij kan gedacht worden aan de overheid die toestemming van de burger vraagt voor het gebruik van diensten en websites, aangezien deze vaak verplicht zijn.7

Het gebruik van diensten van de overheid kan enerzijds als plicht worden opgelegd en anderzijds kan er sprake zijn van een aanbieding om een bepaalde voorziening te gebruiken. De betrokkene kan afhankelijk zijn van deze voorziening, waarbij er toch sprake is van een significante onevenwichtigheid tussen de overheid en de burger.8 De burger kan immers recht hebben op deze voorziening als voldaan is aan de wettelijke criteria terwijl diegene niet bereid is om zijn persoonsgegevens te delen. Dit zou immers geen criterium mogen zijn op grond waarvan de voorziening wel of niet zal worden verleend. Dit betekent dat de burger feitelijk gedwongen wordt om zijn toestemming te geven. Bij dergelijke feitelijke verplichtingen voor burgers moet er sprake zijn van een wettelijke grondslag.9 Toestemming als grondslag voor de verwerking van persoonsgegevens door de overheid is dientengevolge slechts mogelijk als de verwerking niet plaatsvindt in het kader van een publieke taak. Toestemming kan wel als grondslag dienen als de gemeente bijvoorbeeld een nieuwsbrief wil rondsturen aan burgers.

Ook in het geval van een arbeidsrechtelijke verhouding zal vrije toestemming vaak niet mogelijk zijn.10 Ook de Artikel 29 Werkgroep (thans European Data Protection Board) is van mening dat als de werkgever zich beroept op toestemming als grondslag en de verwerking van persoonsgegevens noodzakelijk en onvermijdbaar is, dit misleidend is. Alleen indien de werknemer een echte vrije keuze heeft, kan toestemming als grondslag dienen.11 Zo kan van een sollicitant die op verzoek van de aspirant werkgever gegevens over zijn strafrechtelijk verleden bekend maakt, niet worden gezegd dat hij dit in vrijheid heeft gedaan.12

Is de toestemming specifiek genoeg?

De betrokkene moet zijn toestemming kunnen geven voor specifieke verwerkingen.13 Hij moet kunnen overzien waarvoor hij toestemming geeft. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden. Als het daarbij gaat om een verstrekking aan derden, moet ook duidelijk zijn aan welke derden.14 Om te voldoen aan dit element dient:

  • er specifieke doeleinden te worden toegepast als een bescherming tegen 'function creep';
  • er granulariteit te bestaan in toestemmingsverzoeken; en
  • er een duidelijke scheiding te bestaan tussen informatie met betrekking tot het verkrijgen van toestemming en informatie over andere zaken.15

Wil een verwerkingsverantwoordelijke toestemming krijgen voor een aantal verschillende doeleinden, dan dient deze per doeleinde afzonderlijk toestemming te vragen. In dergelijke situaties dient hij voorts per doeleinde voldoende informatie te geven over dit specifieke doel. Deze informatieplicht met betrekking tot toestemming wordt hierna besproken.

Is er voldoende informatieplicht gegeven?

De betrokkene moet goed worden ingelicht over het geven van zijn keuze en wat de gevolgen daarvan zijn. Hij moet voldoende en begrijpelijk door de verwerkingsverantwoordelijke worden geïnformeerd over de verschillende aspecten van de verwerking.16 Begrijpelijk betekent in dit geval in heldere en duidelijke taal, en niet alleen voor juristen. De betrokkene moet in ieder geval informatie ontvangen over:

  • de identiteit van de verwerkingsverantwoordelijke;
  • het doel van elk van de verwerkingen waarvoor toestemming wordt gevraagd;
  • het soort gegevens dat wordt verwerkt;
  • het bestaan van het recht om de toestemming in te trekken;
  • informatie over het gebruik van de gegevens voor geautomatiseerde besluitvorming; en
  • over de risico's van doorgifte aan derde landen.17

Als toestemming wordt gegeven via elektronische middelen, moet het verzoek duidelijk en beknopt zijn.

Het voorgaande impliceert echter niet dat de betrokkene geen enkele onderzoeksplicht heeft. Hierbij moet worden gekeken naar wat in het maatschappelijk verkeer redelijkerwijs mag worden verwacht van de betrokkene. Hierbij kunnen een rol spelen:

  • de soort gegevens;
  • de aard van de verwerkingen;
  • de context waarin deze verwerkingen plaatsvinden;
  • de maatschappelijke positie en onderlinge verhouden tussen betrokkene en verwerkingsverantwoordelijke.

Is er sprake van een verklaring of ondubbelzinnige actieve handeling?

Een ondubbelzinnige actieve handeling betekent dat de betrokkene een opzettelijke handeling moet hebben uitgevoerd om toestemming te verlenen voor de specifieke verwerking.18 De term "ondubbelzinnig" ziet op de vraag of elke twijfel bij de verwerkingsverantwoordelijke moet zijn uitgesloten over de vraag of de betrokken zijn toestemming heeft gegeven en voor welke type verwerking dit is gedaan.19 Zo is het vooraf aanvinken van een opt-in vakje niet toegestaan, net zoals het stilzwijgen of inactiviteit van de betrokkene niet worden beschouwd als een actieve handeling. De handeling voor het geven van toestemming mag niet dezelfde handeling zijn als die voor het instemmen met een overeenkomst of algemene voorwaarden.20

Net zoals met papieren toestemmingsverzoeken, dient een elektronisch verzoek afzonderlijk en gescheiden te zijn. Er mag geen toestemming in de algemene voorwaarden worden gevraagd.21

Hoewel de AVG stelt dat toestemming los staat van nationale wet- en regelgeving, moet de impact hiervan niet worden vergeten. Zo stelt de Artikel 29 Werkgroep dat:

Onverminderd het bestaande (nationale) contractenrecht kan toestemming worden verkregen door middel van een geregistreerd mondelinge verklaring (...)22

De bewijslast voor het geven van toestemming ligt bij de verwerkingsverantwoordelijke.23 Het nationale bewijsrecht kan echter roet in het eten gooien. Als volgens het Nederlandse bewijsrecht niet kan worden bewezen dat er sprake is van een mondelinge verklaring, kan dit voor problemen zorgen. Hoewel de Artikel 29 Werkgroep aangeeft dat de meest letterlijke manier om te voldoen aan het criterium van een schriftelijke verklaring een brief of e-mail is, kan het bewijsrecht voorts ten aanzien van schriftelijke verklaringen voor problemen zorgen. Als in Nederland niet bewezen kan worden dat een e-mail met toestemming is aangekomen, is er juridisch geen toestemming gegeven.24

Intrekken van toestemming

De betrokkene heeft ten alle tijden recht om zijn toestemming in te trekken.25 Deze handeling hoeft niet dezelfde handeling te zijn als die voor het geven van toestemming, maar moet wel even eenvoudig zijn. Indien de toestemming wordt ingetrokken, betekent dit niet dat de verwerking van deze gegevens voor het intrekken van de toestemming opeens onrechtmatig is.

De verwerkingsverantwoordelijke kan, na het intrekken van de toestemming, niet zonder meer overstappen op een andere rechtsgrond.26 De verwerkingsverantwoordelijke moet voor de start van de verwerking beslissen wat de rechtsgrond van deze verwerking is. Voor het rechtmatig verwerken van persoonsgegevens dient de betrokkene immers te worden geïnformeerd op welk rechtsgrond een beroep wordt gedaan.

Indien de betrokkene zijn toestemming intrekt, dient de verwerkingsverantwoordelijke alle gegevens, die op deze grondslag betrekking hebben, te verwijderen, voor zover er geen andere rechtsgrond bestaat.27

Het voorgaande betekent echter niet dat de verwerkingsverantwoordelijke altijd de gegevens van de betrokkene moet verwijderen indien diegene zijn toestemming intrekt. Er kan wel een nieuwe rechtsgrond ontstaan. Deze wijziging van rechtsgrond dient dezelfde regels te volgen als enig andere nieuwe verwerking van gegevens. Indien er sprake kan zijn van een nieuwe rechtsgrond, dient de verwerkingsverantwoordelijke bijvoorbeeld de betrokkene hierover te informeren.28

 
Neem vrijblijvend contact op
Wilt u meer weten over toestemming en of u de juiste grondslag hanteert? Neem dan vrijblijvend contact met ons op.

Voetnoten

  1. Artikel 4 onder 11 AVG.
  2. Artikel 9 lid 2 sub a AVG.
  3. Artikel 7 lid 1 AVG.
  4. WP29, advies WP259, p. 21.
  5. Artikel 7 lid 4 AVG.
  6. WP29 advies WP259, p. 9.
  7. Overweging 43 AVG.
  8. A.M. Klingenberg, J. Lindeboom, 'Lost in e-government: bevat de Algemene verordening gegevensbescherming voldoende waarborgen voor burgers bij gegevensverwerking door de overheid?', P&I 2013/6, p. 276.
  9. HR 22 juni 1973, NJ 1973, 386 (Fluorideringsarrest).
  10. Registratiekamer 29 maart 1994 (94.E.034) in: B.M.A. van Eck, U. van de Pol & C.G. Zandee, Persoonsgegevens beschermd. Van WPR naar WBP. Uitspraken van de Registratiekamer, Den Haag: Sdu Uitgevers 1999, p. 173.
  11. WP29, advies 8/2001 , p. 23.
  12. Kamerstukken II 1997/98, 25892, nr. 3, p. 65.
  13. Artikel 6 lid 1 sub a AVG.
  14. Kamerstukken II 1997/98, 25892, nr. 3, p. 65.
  15. WP29, advies WP259, p. 13.
  16. Kamerstukken II 1997/98, 25892, nr. 3, p. 65.
  17. WP29, advies WP259, p. 15.
  18. WP29, advies WP259, p. 18.
  19. Kamerstukken II 1997/98, 25892, nr. 3, p. 66, 80.
  20. Artikel 7 lid 2 AVG.
  21. WP29, advies WP259, p. 16.
  22. WP29, advies WP259, p. 18.
  23. Artikel 7 lid 1 AVG.
  24. Rechtbank Arnhem, 6 maart 2006, ECLI:NL:RBARN:2006:AV3919, Prg. 2006/74.
  25. Artikel 7 lid 3 AVG.
  26. WP29, advies WP259, p. 27.
  27. Artikel 17 lid 1 sub b AVG.
  28. WP29, advies WP259, p. 26.