Toestemming voor het verwerken van persoonsgegevens onder de nieuwe privacywet

Vrijwel iedereen kent ze, de toestemmingsvragen die met enige regelmaat op je laptop- of telefoonscherm verschijnen. De bedoeling hiervan is dat de gebruiker instemt met het verwerken van persoonsgegevens door de eigenaar van de website of app, en mogelijk ook door anderen. Deze toestemming verkrijgen, is vaak wettelijk verplicht. Zeer positief dus, wanneer u als bedrijf een dergelijke toestemmingsvraag gebruikt.

Echter, zeker met de komst van nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming) vanaf 25 mei 2018, is het goed om de manier waarop toestemming wordt gevraagd te herzien. Toestemming is namelijk pas toestemming, wanneer deze aan de volgende voorwaarden voldoet:

  • de toestemming moet specifiek zijn;
  • de toestemming moet op informatie berusten;
  • de toestemming moet in vrijheid gegeven zijn;
  • de toestemming moet een actieve handeling zijn.

Dit klinkt heel logisch, maar biedt nog geen handvatten voor hoe je in de praktijk toestemming kunt krijgen. En laat dat nu één van de belangrijkste onderdelen van de Europese privacywetgeving zijn: het niet of niet juist verkrijgen van toestemming, kan straks worden bestraft met boetes tot 20 miljoen euro of 4% van de jaaromzet. Dat is iets wat iedereen wil voorkomen.

De International Association of Privacy Professionals heeft daarom een gids gemaakt met praktische voorbeelden van hoe je op een juridisch juiste wijze toestemming krijgt (én hoe dat juist niet moet!). Het document richt zich op de ‘gebruikerservaring’, de ‘user interface’ van een app of website.

Afgeraden wordt bij toestemming vragen voor het verwerken van persoonsgegevens:

  • dat er op een (kleine, niet opvallende) button met een vraagteken geklikt moet worden om meer informatie te krijgen over wat er met de persoonsgegevens gebeurt.
  • alleen melden: “Als je de cookies niet accepteert, werken sommige onderdelen van de website minder goed”. Maak in plaats daarvan duidelijk om welke onderdelen het dan precies gaat.
  • om woorden te gebruiken als ‘bijvoorbeeld’, ‘onder andere’. Maak in plaats daarvan duidelijk welke partijen de gegevens nog meer krijgen, en voor welke doelen.
  • een keuze te ‘promoten’ door deze vetgedrukt, groter, of in een andere kleur weer te geven, of door aan te geven dat iets een standaardoptie is, dat de meerderheid ergens voor kiest, of dat het bedrijf het aanraadt.

Aangeraden wordt bij toestemming vragen voor het verwerken van persoonsgegevens:

  • om direct in de toestemmingsvraag een korte uitleg te geven: wie krijgen welke gegevens, voor welke doelen? En uiteraard een link op te nemen naar de privacyverklaring (let op: toestemming kan niet worden verkregen via een privacyverklaring alleen, dit is slechts een informatiedocument).
  • om duidelijk aan te geven wat het gevolg is als je geen toestemming geeft. Bijvoorbeeld: wanneer u uw locatiegegevens uitschakelt, is het niet mogelijk om real-time uw route uit te stippelen (voor een navigatie-app).
  • om alle doelen waarvoor, en alle partijen waardoor de gegevens worden gebruikt, te benoemen.
  • om alle opties op dezelfde wijze weer te geven, zodat de gebruiker zelf een keuze maakt.

De IAPP brengt nog een aantal andere (psychologische) inzichten over het geven van toestemming naar voren. Wanneer je twee keuzes onder elkaar toont, worden beide opties als gelijkwaardig gezien. Wanneer er twee keuzes naast elkaar worden getoond, wordt de rechter optie als ‘standaard’ gezien. Het ‘grijs/wazig’ weergeven van een knop ‘volgende’ maakt mensen zich er meer van bewust dat ze een keuze maken.

Als er geen daadwerkelijke keuze is (je móét toestemming geven om een dienst te kunnen gebruiken), dan is het van belang om na te gaan of toestemming wel de juiste grondslag is om persoonsgegevens te mogen verwerken. Wellicht kunt u de gegevens dan alleen verwerken op grond van een overeenkomst, of een gerechtvaardigd belang dat opweegt tegen de privacyinbreuk.

Let daarnaast op het volgende. Bij het aanbieden van 'diensten van de informatiemaatschappij' (zoals een online spel of sociaal netwerk) aan kinderen onder de 16 jaar, dient u na te gaan of er toestemming van een ouder of wettelijk vertegenwoordiger van het kind is. Toestemming moet te allen tijde kunnen worden ingetrokken, op een gemakkelijke manier, bijvoorbeeld door het klikken op een afmeldlink. Toestemming moet ook kunnen worden bewezen. Houd dus logs bij: wie heeft toestemming gegeven en waarvoor precies?

Het document van de IAPP is geen officiële uitleg door een wetgever, toezichthouder of rechter, maar wel nuttig bij het praktisch vormgeven van toestemmingsvragen.

Meer weten over privacywetgeving en het verwerken van persoonsgegevens?

Heeft u een vraag over (bijvoorbeeld toestemming voor) het verwerken van persoonsgegevens? Volg één van onze privacytrainingen of neem contact op met de privacyjuristen van ICTRecht. Bel 020 663 1941, of stuur een e-mail naar info@ictrecht.nl.

Terug naar overzicht