Toestemming onder de AVG

Toestemming, een veel gebruikte grondslag voor verwerking van persoonsgegevens. Maar ook een die van organisaties een hoop aandacht vergt. Want wanneer is toestemming nou echt toestemming? Het Europese Hof van Justitie legde dit uit.

De zaak bij het EHvJ

De vraag die het Europese Hof van Justitie voorgelegd kreeg, was afkomstig uit Roemenië. Roemenië is onderdeel van de Europese Economische Ruimte (dat is de EU plus Liechtenstein, Noorwegen en IJsland) en daarmee is de AVG van toepassing. Onder de AVG moet je elke verwerking van persoonsgegevens goed afwegen en altijd een rechtmatige grondslag hebben. Een van die grondslagen is toestemming.

Een mobiele telecomprovider in Roemenië sloeg een kopie van het ID-kaart van een klant op en deed dit op basis van de grondslag toestemming. Deze toestemming werd uitgevraagd in het contract, middels een door de telecom provider vooraf aangevinkt vakje.

De vraag die hier speelde was of toestemming rechtsgeldig gegeven was, volgens de regels uit de AVG.

Verplichte onderdelen van toestemming

Toestemming moet vrij gegeven zijn, ondubbelzinnig, geïnformeerd en specifiek. In normaal Nederlands betekent dit dat ‘wie zwijgt stemt toe’ hier niet geldt. Er is altijd een actieve handeling nodig (een volmondig ja, een krabbel of een klik op een knop) om toestemming te geven. Het moet dan ook nog eens heel duidelijk zijn waar precies ja tegen wordt gezegd. De toestemmingsvraag moet dan ook bepaalde onderdelen goed beschrijven.

Uitspraak Hof van Justitie van de Europese Unie

De Roemeense telecomprovider had de klant via het contract netjes geïnformeerd. Ook was de telecomprovider van mening dat rechtsgeldige toestemming was gevraagd. De provider bood immers de gelegenheid om de toestemming te weigeren (met een extra apart formulier dan wel, maar ze boden de mogelijkheid). Het Hof van Justitie kon zich hier niet in vinden.

Een vooraf aangevinkte toestemmings-checkbox voor het verwerken van persoonsgegevens is géén rechtsgeldige toestemming. Toestemming kan namelijk alleen worden gegeven door middel van een actieve ondubbelzinnige handeling van de betrokkene. Dus geen: “wie zwijgt stemt toe”. Of “Wie geen bezwaar maakt geeft toestemming”. In dit geval kon de telecomprovider op geen enkele wijze aantonen dat de klant zelf het vinkje had gezet.

Hier bleef het echter niet bij. Naast niet-rechtsgeldig gegeven toestemming was het Hof van Justitie ook nog eens van mening dat mogelijk sprake was van misleiding van de klant. Of dat het geval is, moet de Roemeense rechtbank onderzoeken. Het Hof wijst in elk geval op het feit dat de telecomprovider de klant een bezwaar-formulier (een extra handeling) laat gebruiken om toestemming voor het opslaan van zijn kopie ID te weigeren. De telecomprovider kan de klant door deze werkwijze het idee geven dat het sluiten van een contract niet meer mogelijk is als geen toestemming wordt gegeven voor het opslaan van de kopie van het ID-bewijs. De toestemming is dan immers niet vrij gegeven. En, ook niet onbelangrijk, toestemming moet ook nog eens gemakkelijk kunnen worden geweigerd.

Wat betekent dit voor jou?

Eigenlijk niets nieuws. Toestemming krijgen is niet altijd even makkelijk en vergt aandacht. In veel gevallen is het daarom aan te raden om te onderzoeken of de verwerking daadwerkelijk op basis van toestemming moet gebeuren. Misschien is de verwerking juist wel noodzakelijk om de overeenkomst uit te kunnen voeren? Of wellicht heb je een heel goed verdedigbaar eigen belang? Het verdient aanbeveling om hier telkens wanneer voor toestemming wordt gekozen, goed over na te denken.

In Nederland geldt dit overigens niet voor onder andere het versturen van de nieuwsbrief en voor het gebruiken van cookies. Hiervoor gelden aparte wettelijke eisen, die toestemming verplichten.

Je moet toestemming kunnen bewijzen

Wanneer je gegevens verwerkt met toestemming, moet je toestemming altijd kunnen bewijzen. Het is dus zaak om formulieren te bewaren en te bewijzen dat de toestemming is gegeven door de persoon zelf en niet op voorhand door de organisatie. Wanneer er sprake is van een contract kun je gebruik maken van een zin die de klant opschrijft met dezelfde pen als waarmee de handtekening wordt gezet. Online kun je gegeven toestemming bewijzen door bewijs op te slaan van de manier waarop toestemming wordt verkregen en het feit dat toestemming niet op voorhand wordt aangevinkt.