Toestemming volgens de GDPR – een gemiste kans

25 mei ligt meer dan een maand achter ons en de wereld draait nog…

Het heeft er even anders uitgezien. De paniek en daaruit volgende explosie van aanvragen tot het geven van toestemming voor allerhande verwerkingen, nieuwsbrieven en promoties deed mijn mailbox, net als de uwe waarschijnlijk, exploderen. De wereld leek nabij voor degenen die niet snel toestemming vroegen om persoonsgegevens nog te kunnen gebruiken na 25 mei. Was dit allemaal wel nodig overeenkomstig de GDPR?

gdpr_toestemming_gemistekans-artikel

Die toestemming vragen, was dit wel nodig?

In de meeste gevallen van de e-mails die mij bereikt hebben was het antwoord neen!

Vooreerst bestaat nog steeds de hardnekkige misvatting dat toestemming vragen de belangrijkste verwerkingsgrond is. Toestemming is de eerste verwerkingsgrond opgenomen in artikel 6.1 GDPR maar dit maakt hem niet de meest gebruiksvriendelijke. Vooreerst zullen in een professioneel kader hoofdzakelijk persoonsgegevens verwerkt worden die noodzakelijk zijn voor de uitvoering van een overeenkomst of noodzakelijk om te voldoen aan een wettelijke verplichting.

Meermaals heb ik ondernemingen er met hand en tand van moeten overtuigen om geen toestemming te vragen aan hun klanten indien de verwerking in bovengenoemde categorieën viel. Toestemming vragen moet aan bepaalde specifieke voorwaarden voldoen en de toestemming kan op ieder moment worden ingetrokken. Dit is dus niet de verwerkingsgrond waar u zich op wenst te baseren indien u deze gegevens nodig hebt om aan uw contractuele of wettelijke verplichtingen te voldoen.

Ook buiten het kader van een overeenkomst of een wettelijke bepaling is de toestemming niet de meest werkbare verwerkingsgrond. Artikel 6 punt f GDPR geeft de mogelijkheid aan de verwerkingsverantwoordelijken om persoonsgegevens te verwerken voor de behartiging van een gerechtvaardigd belang. Hierbij dient de verwerkingsverantwoordelijke haar belangen af te wegen tegenover de belangen, grondrechten en fundamentele vrijheden van de betrokkene. Hierbij stelt overweging 47 van de GDPR uitdrukkelijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.

De e-Privacyrichtlijn (die binnenkort zal wijzigen) legt thans nog op dat er geen uitdrukkelijke toestemming vereist is wanneer klanten hun e-mailadres hebben opgegeven in het kader van de aankoop van een product of een dienst. In dat geval mag voor soortgelijke producten of diensten commerciële communicatie toegezonden worden, mits mogelijkheid tot een eenvoudige opt-out. Naar bestaande klanten mag een onderneming aldus zonder enig probleem e-mails sturen voor soortgelijke producten, zonder toestemming te vragen maar onder het gerechtvaardigd belang.

Werd de toestemming op een correcte manier gevraagd?

Opnieuw moet ik hoofdzakelijk negatief antwoorden op deze vraag op basis van de door mij ontvangen e-mails en brieven.

De toestemming moet verplicht aan strenge voorwaarden voldoen:

  • De toestemming moet vrij zijn. De betrokkene moet werkelijk vrij kunnen kiezen of hij wenst toe te stemmen, zonder dat aan deze keuze nadelige gevolgen gekoppeld worden.
  • Specifiek: de betrokkene moet de mogelijkheid hebben om voor ieder afzonderlijk doeleinde de keuze te hebben om al dan niet in te stemmen.
  • Geïnformeerd: De toestemming moet steeds voorafgegaan worden met een duidelijke uitleg waarvoor toestemming wordt gegeven. Enkel een vermelding in de tekst van de privacy policy voldoet hierbij niet.
  • Actieve handeling: de toestemming moet actief zijn. De betrokkene dient uitdrukkelijk toestemming te geven, bijvoorbeeld door het aanvinken van een hokje.
  • Aantoonbaar: de verwerkingsverantwoordelijke draagt de bewijslast om aan te tonen dat hij wel degelijk toestemming heeft verkregen van de betrokkene en dat deze toestemming ook voldoet aan alle voornoemde voorwaarden.
  • Toestemming moet op elk moment kunnen worden ingetrokken: De betrokkene dient op ieder moment de mogelijkheid hebben om zijn toestemming in te trekken.

Gezien de strenge voorwaarden die gekoppeld zijn aan de toestemming is deze rechtsgrond enkel ‘bruikbaar’ voor heel specifieke verwerkingen en niet als algemene verwerkingsgrond voor het gebruik van persoonsgegevens. Probeer aldus steeds af te wegen of geen andere verwerkingsgrond van toepassing kan zijn op deze verwerking alvorens toestemming te vragen. Indien toestemming gevraagd wordt, dient u er erg aandachtig voor te zijn dat aan alle voornoemde voorwaarden is voldaan.

De gemiste kans van 25 mei

Al bij al is 25 mei 2018 vooral een gemiste kans gebleken. Daar waar de datum een opportuniteit had moeten zijn om de bewustwording rond privacy rechten te vergroten en het dialoog naar een privacy bewuste samenleving te voeren, is deze dag uitgemond in een overstelping van hoofdzakelijk overbodige e-mails die iedereen die niet deelnam aan de ratrace, schuimbekend en vol afschuw voor het vierletterwoord GDPR achterliet.

GDPR staat echter voor ondernemingen die bewuster en veiliger omgaan met onze persoonsgegevens, aan dataminimalisatie doen en privacy by design toepassen. Burgers die de mogelijkheid hebben zich te informeren over de data die deze ondernemingen over hen bezitten en hen de mogelijkheid geeft hun eigen data ook effectief beter te controleren. Een nobel doel waar zowat iedereen die de tijd neemt om er bij stil te staan zich volmondig in kan vinden. Deze boodschap is echter verdronken voor het grote publiek en we kunnen dit alleen maar betreuren.

 

 

Auteur: Olivier Sustronck

 

 

  215