Data Management

Stop met het vragen van toestemming!

In mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) actief geworden. Vanwege een overgangsperiode van twee jaar zijn de meeste organisaties sinds mei 2018 in overeenstemming met deze Nederlandse versie van de General Data Protection Regulation (GDPR), sommige organisaties heel misschien zelfs ietsjes later nog. Erg vaak zien we een basale fout bij het inrichten van de administratieve rompslomp die de AVG met zich meebrengt. Hierdoor maken organisaties zich nodeloos kwetsbaar. Over die overbodige kwetsbaarheid ga ik het in deze blog hebben. Waarom je als organisatie toestemming vragen wil vermijden.

Nu is de voorganger, de Databeschermingsrichtlijn (1995), inmiddels oud genoeg om sterke drank te mogen kopen, dus een update was ook wel wenselijk. Het meeste wat geschreven wordt over de AVG gaat over de bijbehorende boetes. Afhankelijk van de aard van de overtreding, 2 tot 4 % van de jaarlijkse omzet. Als die omzet te laag is dan krijgt men een boete van 10 of 20 miljoen euro. Angstaanjagende bedragen. Als reactie is menig bedrijf aan de slag gegaan met de gestelde eisen van de AVG.

Stiekem verschilt de AVG niet zoveel van de daarvoor actief zijnde Wet bescherming persoonsgegevens. Wel zijn er bijvoorbeeld verschillen te vinden in de administratieve verplichtingen. Zodoende worden organisaties gedwongen na te denken over alle vormen van de verwerking van persoonsgegevens. Een verwerking is alles wat je met een persoonsgegeven doet en deze dien je op te nemen in het logisch genaamde verwerkingsregister. Om persoonsgegevens te mogen verwerken zijn minstens twee dingen nodig: een doel en een wettelijke grondslag. En met die laatste gaat het nog wel eens mis, ondanks dat er maar zes van zijn. Eerst een opsomming van de grondslagen:

  1. Toestemming van de persoon van wie de persoonsgegevens zijn
  2. Noodzakelijk voor de uitvoering van een overeenkomst
  3. Noodzakelijk voor het nakomen van een wettelijke verplichting
  4. Noodzakelijk voor de bescherming van de vitale belangen
  5. Noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
  6. Noodzakelijk voor de behartiging van de gerechtvaardigde belangen

VERMIJD TOESTEMMING!

Ik zal u meteen verklappen waar het meestal misgaat. Toestemming lijkt makkelijk. Bij een overeenkomst kan men ook nog wel iets voorstellen, een overeenkomst is een soort officiële toestemming. Een wettelijke verplichting is ook nog wel evident. Dat moet gewoon. Dan wordt het al wat lastiger. Vitale belangen? Van het bedrijf of zo? En wie bepaalt of iets algemeen belang heeft? En wat zijn gerechtvaardigde belangen eigenlijk?

Toestemming is verreweg de simpelste grondslag en daarom wordt er vaak op teruggegrepen. We vragen wel eventjes snel toestemming, dan zijn we veilig. En precies daarom gaat het mis! Toestemming is namelijk niet zomaar rechtsgeldig. Daarvoor moet het aan een aantal voorwaarden voldoen en juist die voorwaarden zorgen ervoor dat je deze grondslag het liefst vermijdt.

De eerste voorwaarde waar toestemming aan moet voldoen is dat deze vrijelijk gegeven moet zijn. De Autoriteit Persoonsgegevens is zelfs van mening dat vanwege de machtsverhouding, toestemming tussen werkgever en -nemer hierdoor niet kan bestaan! Hierom alleen al is toestemming dus niet te gebruiken als het om persoonsgegevens van medewerkers gaat. Verder moet toestemming ondubbelzinnig zijn, specifiek en daarbij moet degene die toestemming geeft goed geïnformeerd zijn over de identiteit van de organisatie, het doel, om welke gegevens het gaat en dat dat recht ten alle tijden ingetrokken moet kunnen worden. Dat laatste moet net zo makkelijk zijn als het geven van de toestemming. Dit maakt stilzwijgend toestemming geven onmogelijk. Een goede zaak natuurlijk. Ook moet de verwerker van de persoonsgegevens kunnen aantonen dat de toestemming gegeven is. De toestemming moet dus gemakkelijk en elk moment ingetrokken kunnen worden. Op elk moment betekent ook echt op elk moment. U begrijpt wel dat dit erg veel van uw processen en systemen vereist. Daarom: vermijden die toestemming!

Maar wat moet u dan? De grondslag op basis van een overeenkomst biedt vaak uitkomst als het nodig is voor het uitvoeren van een arbeidscontract. Ikzelf ben bijvoorbeeld consultant en om mij in contact te brengen met opdrachtgevers is het noodzakelijk dat mijn werkgever bepaalde persoonsgegevens deelt. Prima.

Wettelijke verplichting zal toestemming niet vaak kunnen vervangen, de overheid is namelijk over wat daar wel en niet onder valt vrij duidelijk en heeft daar zelfs een reeks boeken over uitgegeven. Vitale belangen en algemeen nut zullen ook niet vaak toepasbaar zijn als grondslag. Vitale belangen gaan gelden als iemands leven in gevaar is en er écht geen andere manier is. Bijvoorbeeld medische gegevens delen bij een acuut probleem. “Yo, dit is Bob en hij heeft een pinda-allergie” mag alleen als Bob een vrij rond gezicht aan het krijgen is. In dit geval kan Bob met geen mogelijkheid meer zelf toestemming geven voor het delen van zijn medische gegevens, namelijk zijn pinda-allergie. Om zijn leven te redden mag een werkgever deze gegevens delen met bijvoorbeeld een ambulancebroeder.

Het algemeen belang en openbaar gezag gelden in de regel nagenoeg uitsluitend voor bestuursorganen. Deze zullen voor de meeste organisaties niet van toepassing zijn. Vergeet deze grondslagen ook maar.

RECHTVAARDIG HET BELANG

Dan blijft er eigenlijk maar eentje over. Gerechtvaardigd belang. De minst duidelijk definieerbare grondslag. Zeer kort door de bocht wil gerechtvaardigd belang zeggen: het mag als je het als organisatie nodig hebt. Er moet natuurlijk wel aan een aantal voorwaarden worden voldaan:

  1. Er moet daadwerkelijk een gerechtvaardigd belang zijn
  2. Er is noodzaak voor de verwerking van gegevens
  3. Er moet een afweging gemaakt worden tussen de belangen van de organisatie en van de betrokkene

Overheden mogen deze grondslag niet gebruiken wat als hint kan dienen dat dit de private tegenhanger is van de grondslag algemeen belang. Zie het als algemeen belang, maar dan voor de organisatie. Als de verwerking van persoonsgegevens aantoonbaar noodzakelijk is voor de activiteiten van de organisatie dan is het dus in orde, mits er geen andere manier is om het doel te bereiken en mits het risico niet te groot is voor degene van wie de gegevens zijn. Zo mag u bijvoorbeeld bestaande klanten een e-mail sturen om deze klant te informeren over vergelijkbare producten, zonder toestemming. Dat is gerechtvaardigd belang.

Dus als het gaat om activiteiten die noodzakelijk zijn voor de continuïteit van uw organisatie; stop met het gebruiken van de grondslag toestemming en probeer deze uit te bannen. De grondslagen overeenkomst en gerechtvaardigd belang zullen vaak uitkomst bieden. Als het dan echt niet onder te brengen is bij een van de andere grondslagen, dan kunt u natuurlijk altijd nog toestemming vragen.

Een gedachte over “Stop met het vragen van toestemming!

  1. Leuk gedaan Willem! Zelf vind ik de materie best wel moeilijk, met name omdat het een sterk juridische karakter heeft. Misschien dat dit komt doordat ik het nog niet concreet aan de hand gehad.

    Mooie “triggerende” titel en leuk om te zien hoe je in de opbouw toestemming ontraadt, maar uiteindelijk dit toch de optie is die het meest toepasbaar is. Zij het met veel voorwaarden …

    Feitelijk laat je de lezer in het ongewisse 😉

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *