Sinds de introductie van de boetebevoegdheden voor de Autoriteit Persoonsgegevens in 2016 en met de algemene verordening gegevensbescherming (AVG) in aantocht, zijn steeds meer bedrijven en instellingen bezig met privacy-compliance programma's. Bij veel bedrijven/instellingen leeft de indruk dat het verstandig is iedere betrokkene altijd om toestemming te vragen voor de verwerking van persoonsgegevens. Hoe men daar bij komt is mij niet duidelijk. Voor zover dat door derden geadviseerd is, betreft dat een fout advies. In deze blog zet ik uiteen waarom.
Kern van privacyrecht: zorgvuldige verwerking
Het privacyrecht gaat in de kern over een zorgvuldige verwerking van persoonsgegevens. Dat staat letterlijk zo in artikel 6 Wet bescherming persoonsgegevens (Wbp).
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Bij overtreding van die algemene zorgvuldigheidsnorm zou de Autoriteit Persoonsgegevens bijvoorbeeld een last onder dwangsom of boete kunnen opleggen.
Avg = Wbp + compliance en zwaardere bevoegdheden toezichthouders
Onder de AVG wordt dat in wezen niet anders. De AVG bouwt voort op de Wbp, versterkt enkele aspecten in het voordeel van de betrokkene en brengt vooral allerlei aanvullende administratieve verplichtingen in de sfeer van compliance en zwaardere bevoegdheden van de toezichthouders met zich mee.
Grondslag voor de verwerking vereist
Om die zorgvuldige verwerking van persoonsgegevens te waarborgen, staat zowel in de Wbp als de AVG dat persoonsgegevens alleen mogen worden verwerkt voor zover daarvoor een grondslag aanwezig is. In de Wbp staat dit in artikel 8, in de AVG in artikel 6.
Daarnaast gelden - vanwege diezelfde zorgvuldigheid - overigens ook andere eisen (doelbinding, beveiliging, geheimhouding, etc.), maar die werk ik in deze blog verder niet uit.
Zes limitatieve grondslagen
De wet vermeldt zes mogelijke grondslagen. De zes grondslagen zijn (op wat detailwijzigingen in de woordkeuze) onder de Wbp en de AVG identiek:
- toestemming van de betrokkene; en/of
- noodzakelijk voor precontractuele maatregelen of uitvoering overeenkomst; en/of
- noodzakelijk voor nakoming wettelijke verplichting; en/of
- noodzakelijk ter vrijwaring vitaal belang betrokkene; en/of
- noodzakelijk voor uitvoering publieke taak; en/of
- noodzakelijk voor behartiging gerechtvaardigd belang.
Het is vaste rechtspraak dat die lijst limitatief is. Er moet dus minimaal een grondslag kunnen worden aangewezen. Wel kan een verwerking onder meerdere grondslagen tegelijk vallen.
In de praktijk veel te scharen onder andere grondslagen dan toestemming
Zolang er niet meer gegevens worden verwerkt dan noodzakelijk, zijn in de praktijk voor commerciële organisaties de meeste verwerkingen prima te scharen onder de grondslagen "uitvoering overeenkomst", "wettelijke plicht" en "gerechtvaardigd belang". Voor publiekrechtelijke organisaties geldt dat de "uitvoering publieke taak" meer opspeelt en "gerechtvaardigd belang" niet of minder.
Toestemming vragen is vaak helemaal niet nodig, tenzij er meer gegevens worden verwerkt dan noodzakelijk of wanneer er bijzondere persoonsgegevens worden verwerkt.
Toestemming is de minst handige grondslag
Van de zes grondslagen is toestemming de minst handige grondslag. Daarvoor zijn meerdere redenen:
- er worden zware eisen gesteld aan een toestemmingsverklaring, wil deze überhaupt geldig zijn;
- toestemming ziet altijd op een specifieke verwerking;
- toestemming vragen kan misleidend zijn;
- toestemming vragen leidt tot een zware administratieplicht;
- een gegeven toestemming kan altijd worden ingetrokken.
Ad. 1. Zware eisen
Onder de Wbp wordt de toestemming in artikel 1 onder i gedefinieerd als de "elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt".
De definitie in de AVG lijkt daar sterk op. Hier wordt in artikel 4 onder 11 gesproken over: "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt".
Met andere woorden: iedere toestemmingsverklaring of handeling waarvan achteraf kan worden gezegd dat deze:
- onvoldoende ondubbelzinnig is in de aldus geuite wil;
- niet voldoende specifiek is; en/of
- niet op (juiste) informatie is berust; en/of
- niet in vrijheid is gegeven; en/of
... is waarschijnlijk niet geldig.
Of korter samengevat: de eisen voor een geldige toestemmingsverklaring zijn pittig.
Ad. 2. Specifieke verwerking
Daar komt bij dat uit het voorgaande al volgt dat een toestemming moet zien op een specifieke verwerking. Een "blanco volmacht" kan nooit kwalificeren als geldige toestemming.
Dat betekent dat een organisatie die leunt op het vragen van toestemming, voor iedere nieuwe verwerking van persoonsgegevens opnieuw toestemming zal moeten vragen. Dat is volstrekt onwerkbaar.
Ad. 3. Misleidend karakter
Toestemming geeft de betrokkene de indruk dat hij controle heeft over wat er met zijn persoonsgegevens gebeurt. Dat is echter bijna nooit volledig juist.
Alle organisaties die persoonsgegevens verwerken hebben namelijk ook te maken met allerlei wettelijke verplichtingen. Denk aan fiscale verplichtingen, de verplichting om gegevens (onder omstandigheden) aan opsporingsinstanties af te geven of de verplichting om een wettelijke zorgplicht na te leven.
Wat populairder gezegd: een crimineel houdt zijn persoonsgegevens echt niet uit een strafrechtelijk onderzoek door bij alle organisaties waar hij klant is zijn toestemming in te trekken. Evenmin voorkomt een klant van een financiële instelling zijn BKR-registratie door toestemming aan die financiële instelling in te trekken.
Een organisatie die voor iedere verwerking van persoonsgegevens om toestemming vraagt, wekt die indruk echter (mogelijk) wel. Dat roept niet alleen vragen op over de geldigheid van de aldus verkregen toestemming, maar ook over het (mogelijk) schenden van andere consumentenwetgeving die gaat over het verschaffen van eerlijke en juiste informatie over de eigen dienstverlening.
Ad. 4. Zware administratieplicht
Wie zich beroept op toestemming, moet kunnen bewijzen dat er daadwerkelijk geldig toestemming is gegeven. Dat veronderstelt dus dat er een administratie van gegeven toestemming wordt opgezet. Die administratie zal op zijn beurt weer goed beveiligd en beheerd moeten worden. Dat zal een flinke kostenpost met zich brengen.
Ad. 5. Kunnen intrekken
Bovendien geldt dat toestemming door de betrokkene altijd kan worden ingetrokken. Zie aldus letterlijk artikel 5 lid 2 Wbp of artikel 7 lid 3 AVG.
Zodra de toestemming wordt ingetrokken, stort ieder systeem waarbij persoonsgegevens worden verwerkt dat gebaseerd is op toestemming dus als een kaartenhuis in elkaar.
Als het kaartenhuis op dat moment niet in elkaar stort - lees: de verwerking gaat gewoon door - dan is ten onrechte toestemming gevraagd. Daarop kan de Autoriteit Persoonsgegevens handhavend optreden en boetes voor opleggen.
Let op bij bijzondere persoonsgegevens
Let op: bij de verwerking van bijzondere persoonsgegevens en strafrechtelijke gegevens.
- Bijzondere persoonsgegevens zijn (onder de AVG) gegevens "waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en (...) genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid" (artikel 9 AVG)
- Strafrechtelijke gegevens zijn (onder de AVG) gegevens "betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen" (artikel 10 AVG).
De verwerking van die gegevens is verboden, behoudens wettelijke uitzondering of uitdrukkelijke toestemming van de betrokkene. Juist omdat het verkrijgen van een echt geldige toestemming lastig is (zie hiervoor), verdient het in de praktijk vaak aanbeveling om bij die gegevens bij de wettelijke uitzonderingen te blijven.
Resumerend: toestemming is vaak niet nodig
Met andere woorden: het vragen van toestemming is - uitzonderingen daargelaten - vaak helemaal niet nodig. Het is juist zaak om te toetsen of gegevensverwerkingen onder een andere grondslag te scharen zijn. Toestemming zou alleen voor de restcategorieën gebruikt moeten worden (of de verwerking moet gestaakt worden, vergeet ook die optie niet).
Een organisatie die standaard overal toestemming voor vraagt is in ieder geval verkeerd bezig. De organisatie misleidt de betrokkene, creëert een kaartenhuis dat ieder moment kan instorten en maakt nodeloos allerlei kosten.
Een adviseur die de organisatie heeft geadviseerd standaard voor alle verwerkingen toestemming te vragen, zonder voor de hiervoor geschetste kanttekeningen te waarschuwen, heeft bovendien vermoedelijk verkeerd geadviseerd.
Vragen over privacyrecht?
Heeft u vragen over privacyrecht? Neem dan contact op met mij of een van de collega's uit het privacyteam.
Mark Jansen
advocaat IT- en privacyrecht
