Toestemming volgens de GDPR – een gemiste kans

6pf6daiwz48-rayi-christian-wicaksono

25 mei ligt reeds enkele maanden achter ons en de wereld draait nog…

Het heeft er even anders uitgezien. De paniek en daaruit volgende explosie van aanvragen tot het geven van toestemming voor allerhande verwerkingen, nieuwsbrieven en promoties deed mijn mailbox, net als de uwe waarschijnlijk, exploderen. De wereld leek nabij voor degenen die niet snel toestemming vroegen om persoonsgegevens nog te kunnen gebruiken na 25 mei. Was dit allemaal wel nodig overeenkomstig de GDPR?

Die toestemming vragen, was dit wel nodig?

In de meeste gevallen van de e-mails die mij bereikt hebben was het antwoord neen!

Vooreerst bestaat nog steeds de hardnekkige misvatting dat toestemming vragen de belangrijkste verwerkingsgrond is. Toestemming is de eerste verwerkingsgrond opgenomen in artikel 6.1 GDPR maar dit maakt hem niet de meest gebruiksvriendelijke. Vooreerst zullen in een professioneel kader hoofdzakelijk persoonsgegevens verwerkt worden die noodzakelijk zijn voor de uitvoering van een overeenkomst of noodzakelijk om te voldoen aan een wettelijke verplichting.

Meermaals heb ik ondernemingen er met hand en tand van moeten overtuigen om geen toestemming te vragen aan hun klanten indien de verwerking in bovengenoemde categorieën viel. Toestemming vragen moet aan bepaalde specifieke voorwaarden voldoen en de toestemming kan op ieder moment worden ingetrokken. Dit is dus niet de verwerkingsgrond waar u zich op wenst te baseren indien u deze gegevens nodig hebt om aan uw contractuele of wettelijke verplichtingen te voldoen.

Ook buiten het kader van een overeenkomst of een wettelijke bepaling is de toestemming niet de meest werkbare verwerkingsgrond. Artikel 6 punt f GDPR geeft de mogelijkheid aan de verwerkingsverantwoordelijken om persoonsgegevens te verwerken voor de behartiging van een gerechtvaardigd belang. Hierbij dient de verwerkingsverantwoordelijke haar belangen af te wegen tegenover de belangen, grondrechten en fundamentele vrijheden van de betrokkene. Hierbij stelt overweging 47 van de GDPR uitdrukkelijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.

De e-Privacyrichtlijn (die binnenkort zal wijzigen) legt thans nog op dat er geen uitdrukkelijke toestemming vereist is wanneer klanten hun e-mailadres hebben opgegeven in het kader van de aankoop van een product of een dienst. In dat geval mag voor soortgelijke producten of diensten commerciële communicatie toegezonden worden, mits mogelijkheid tot een eenvoudige opt-out. Naar bestaande klanten mag een onderneming aldus zonder enig probleem e-mails sturen voor soortgelijke producten, zonder toestemming te vragen maar onder het gerechtvaardigd belang.

Ondanks dat ik meermaals een juridisch wetboek heb aangekocht bij een concurrerende juridische uitgeverij, bleef deze maar aandringen op mijn uitdrukkelijke toestemming om mij e-mails te mogen blijven sturen met soortgelijke promoties. Door het feit dat zij gekozen hebben om met toestemming te werken bij hun direct marketing en ik geen toestemming heb gegeven, dienen zij aldus consequent te zijn en mijn e-mailadres uit hun direct marketing bestand te verwijderen.

 Werd de toestemming op een correcte manier gevraagd?

Opnieuw moet ik hoofdzakelijk negatief antwoorden op deze vraag op basis van de door mij ontvangen e-mails en brieven.

De toestemming moet verplicht aan strenge voorwaarden voldoen:

  • De toestemming moet vrij zijn. De betrokkene moet werkelijk vrij kunnen kiezen of hij wenst toe te stemmen, zonder dat aan deze keuze nadelige gevolgen gekoppeld worden. Wanneer een ziekteverzekeraar vraagt of ik instem met de verwerking van mijn persoonsgegevens maar wanneer de instemming gekoppeld is aan het in de toekomst al dan niet afhandelen van mijn schadegevallen dan is de toestemming niet vrij.
  • Specifiek: de betrokkene moet de mogelijkheid hebben om voor ieder afzonderlijk doeleinde de keuze te hebben om al dan niet in te stemmen. Wanneer opnieuw een niet nader genoemde ziekteverzekeraar aan dezelfde toestemming om mijn medische gegevens te verwerken hieraan profiling voor commerciële doeleinden koppelt, is deze toestemming niet specifiek.
  • Geïnformeerd: De toestemming moet steeds voorafgegaan worden met een duidelijke uitleg waarvoor toestemming wordt gegeven. Enkel een vermelding in de tekst van de privacy policy voldoet hierbij niet. Bij de vraag tot toestemming moet duidelijk zijn waarvoor toestemming gegeven wordt en welke gevolgen dit heeft.
  • Actieve handeling: de toestemming moet actief zijn. De betrokkene dient uitdrukkelijk toestemming te geven, bijvoorbeeld door het aanvinken van een hokje.
  • Aantoonbaar: de verwerkingsverantwoordelijke draagt de bewijslast om aan te tonen dat hij wel degelijk toestemming heeft verkregen van de betrokkene en dat deze toestemming ook voldoet aan alle voornoemde voorwaarden.
  • Toestemming moet op elk moment kunnen worden ingetrokken: De betrokkene dient op ieder moment de mogelijkheid hebben om zijn toestemming in te trekken. U dient hier bewust van te zijn als verwerkingsverantwoordelijke en moet hieraan ook onmiddellijk gevolg kunnen geven.

Gezien de strenge voorwaarden die gekoppeld zijn aan de toestemming is deze rechtsgrond enkel ‘bruikbaar’ voor heel specifieke verwerkingen en niet als algemene verwerkingsgrond voor het gebruik van persoonsgegevens. Voorbeelden waarbij het vragen van toestemming nuttig of nodig kan zijn is voor het geven van toestemming voor het gebruik van een foto, voor het gebruik van gevoelige persoonsgegevens buiten de uitzonderingsbepalingen voorzien in artikel 9 GDPR, voor het gebruik van persoonsgegevens van niet-klanten of de doorgifte van persoonsgegevens voor commerciële doeleinden.

Daarenboven is het vragen van een toestemming die niet voldoet aan voornoemde voorwaarden niet geldig als toestemming en dus volledig zinloos. Probeer aldus steeds af te wegen of geen andere verwerkingsgrond van toepassing kan zijn op deze verwerking alvorens toestemming te vragen. Indien toestemming gevraagd wordt, dient u er erg aandachtig voor te zijn dat aan alle voornoemde voorwaarden is voldaan.

De gemiste kans van 25 mei

Al bij al is 25 mei 2018 vooral een gemiste kans gebleken. Daar waar de datum een opportuniteit had moeten zijn om de bewustwording rond privacy rechten te vergroten en het dialoog naar een privacy bewuste samenleving te voeren, is deze dag uitgemond in een overstelping van hoofdzakelijk overbodige e-mails die iedereen die niet deelnam aan de ratrace, schuimbekend en vol afschuw voor het vierletterwoord GDPR achterliet.

GDPR staat echter voor ondernemingen die bewuster en veiliger omgaan met onze persoonsgegevens, aan dataminimalisatie doen en privacy by design toepassen. Burgers die de mogelijkheid hebben zich te informeren over de data die deze ondernemingen over hen bezitten en hen de mogelijkheid geeft hun eigen data ook effectief beter te controleren. Een nobel doel waar zowat iedereen die de tijd neemt om er bij stil te staan zich volmondig in kan vinden. Deze boodschap is echter verdronken voor het grote publiek en we kunnen dit alleen maar betreuren.

Gerelateerde berichten