In het privacyrecht in EU-landen is het verkrijgen van toestemming één van de belangrijkste manieren waarop je volgens de regels persoonsgegevens kunt verwerken. In de VS heeft het Huis van Afgevaardigden, nadat de Senaat er eerder mee instemde, goedkeuring gegeven aan een resolutie die inhoudt dat internetproviders de browsegeschiedenis van gebruikers mogen doorverkopen, zonder dat daarvoor toestemming van de gebruiker nodig is, zo meldt Tweakers. Het voorstel (ter ongedaanmaking van een eerdere wetswijziging) wordt definitief zodra president Trump het ondertekend heeft.
Update 4-4-2017: President Trump heeft het voorstel inmiddels ondertekend. Drie grote internetproviders in de VS hebben toegezegd de browsegeschiedenis van hun klanten desondanks niet te zullen verkopen.
Internet service providers (ISP’s) verwerken meer persoonsgegevens dan je misschien zou verwachten. Op grond van iemands browsegeschiedenis kun je veel te weten komen. Welke websites iemand bezocht heeft, zegt zeer veel: over iemands werk, interesses, vaak zelfs over iemands gezondheid. Veelal is daarom toestemming nodig voor het verwerken van deze gegevens.
Toestemming voor het delen van gegevens
Volgens de regels die momenteel in de VS gelden, moeten klanten van ISP’s geïnformeerd worden over de manieren waarop hun gegevens gebruikt worden, en is meestal toestemming nodig om deze te delen met anderen. Deze regels waren ingesteld door de Federal Communications Commission (FCC). De huidige voorzitter van de FCC, Ajit Pai, is voorstander van de wetswijziging waardoor geen toestemming meer vereist is voor ISP’s om browsergegevens door te verkopen. Hij vindt het namelijk oneerlijk dat voor de ISP's strengere regels gelden dan voor bedrijven als Facebook en Google.
De wetswijziging zou betekenen dat de regels voor het verwerken van persoonsgegevens in de VS nog verder zullen afwijken van de regels die in de EU gelden, en (vanaf 25 mei 2018) zullen gelden onder de Algemene Verordening Gegevensbescherming (AVG). Het verwerken van persoonsgegevens is onder het EU-recht alleen toegestaan wanneer daarvoor een wettelijke grondslag is. Dat kan bijvoorbeeld noodzaak voor de uitvoering van een overeenkomst zijn (maar voor een internetserviceprovider is het in het kader daarvan niet noodzakelijk om iemands browsergeschiedenis te verkopen).
Verschillen met EU-privacywetgeving
Toestemming kan, zoals gezegd, een andere grond zijn om persoonsgegevens te verwerken. Onder de AVG wordt een aantal eisen gesteld aan het verkrijgen van toestemming: deze moet specifiek zien op het doel waarmee gegevens worden verwerkt, betrokkenen moeten voldoende informatie hebben gehad, en moeten hun toestemming in vrijheid hebben gegeven (er mogen geen negatieve consequenties zijn verbonden aan het niet geven van toestemming).
Ontbreekt ook toestemming, dan zijn er nog andere gronden (zoals een gerechtvaardigd belang) waarop persoonsgegevens verwerkt kunnen worden, maar voor het delen van iemands browsegeschiedenis zullen deze vrijwel nooit opgaan. Wanneer het voorstel in de VS van toepassing zou worden, zou dat dus een nieuw, belangrijk, verschil met de privacyregelgeving in de EU betekenen. Bedrijven gevestigd binnen de EU (en onder de AVG ook bedrijven die goederen en diensten aanbieden in de EU of gedrag monitoren van personen die zich in de EU bevinden), zullen voor het doorgeven van gegevens aan derden veelal toestemming nodig hebben van de betrokkene.
ICTRecht Academy
