Je hebt het vast al wel gehoord: de EU is haar privacywetgeving op de schop aan het nemen. Eén van de meest recente veranderingen is de invoering van een nieuwe privacyverordening; de algemene verordening gegevensbescherming (hierna: AVG).1 Deze verordening is op 25 mei 2016 in werking getreden, en moet vanaf 25 mei 2018 toegepast worden.2 Door de verordening veranderen er een aantal zaken in de privacywetgeving, waaronder het toestemmingsvereiste. De verordening hecht meer waarde aan toestemming als grondslag voor gegevensverwerking. Op het eerste gezicht een goed uitgangspunt. Maar is dit wel zo handig in de praktijk?

De regeling rondom de toestemming is hoofdzakelijk terug te vinden in art. 6 en 7 AVG. Art. 6 bevat een limitatieve opsomming van grondslagen voor rechtmatige gegevensverwerking. Art. 6 lid 1 sub a bepaalt als volgt:

Artikel 6
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

De voorwaarden voor deze toestemming worden uiteengezet in art. 7 AVG:

Artikel 7
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

De nieuwe AVG kent daarmee een strenger toestemmingsvereiste dan de huidige regeling uit de Wet bescherming persoonsgegevens (hierna: Wbp), die uitgaat van ‘ondubbelzinnige’ toestemming voor gewone gegevensverwerking en ‘uitdrukkelijke’ toestemming voor bijzondere persoonsgegevens. Art. 1 sub i Wbp definieert toestemming als volgt:

i. toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

Ondubbelzinnig houdt in dat alle twijfel omtrent de toestemming moet zijn uitgesloten. Uitdrukkelijke toestemming houdt in dat de toestemming door betrokkene moet zijn vormgegeven in woord, schrift of een gedraging. Niet alleen bovenstaande vereisten maken dat toestemming minder gauw zal kunnen worden aangenomen, ook in de AVG wordt toestemming anders gedefinieerd. In de kern komt de definitie uit de AVG er op neer dat toestemming dient te geschieden middels een duidelijke actieve handeling. Impliciete toestemming is hierdoor uitgesloten.

In art. 7 AVG worden vier vereisten genoemd voor de toestemming: er moet kunnen worden aangetoond dat toestemming gegeven is, het verzoek voor toestemming moet op een gemakkelijk te begrijpen wijze gepresenteerd worden, toestemming moet net zo makkelijk kunnen worden ingetrokken als het verleend is en er wordt bij beoordeling van de toestemming rekening gehouden met verschillende factoren. Op het eerste gezicht wordt de eigen beschikking over de verwerking van gegevens hierdoor goed gewaarborgd. Deze vereisten brengen echter niet alleen een aantal veranderingen, maar ook veel vragen voor de praktijk met zich mee.

Ten eerste betekent het vereiste uit art. 7 lid 2 AVG dat de toestemming niet meer kan worden ‘opgenomen’ in algemene voorwaarden. Er moet een duidelijk onderscheid kunnen worden gemaakt met andere aangelegenheden; er zal hierdoor bijvoorbeeld een extra ‘knopje’ moeten komen met een verzoek om toestemming voor gegevensverwerking. “Ik ga akkoord met de algemene voorwaarden. Check.” “Ik ga akkoord met de verwerking van mijn gegevens (mogelijk: voor die-en-die doeleinden, art. 7 lid 4 AVG). Check.” Aan het vereiste uit lid 1 lijkt door het vereisen van toestemming op een dergelijke manier gauw te zijn voldaan.

Art. 7 lid 3 AVG brengt mijns inziens meer moeilijkheden met zich mee. De toestemming moet net zo makkelijk kunnen worden ingetrokken als verleend worden. Hier rijzen de nodige vragen. Wat betekent dit voor de verdere continuïteit van de overeenkomst? Wat als deze toestemming nodig was voor het verlenen van bijvoorbeeld de dienst? Blijkbaar zal elke site een soort schakel of knop moeten hebben die de betrokkene de mogelijkheid biedt de gegevensverwerking ‘aan en uit’ te zetten? Hoe zit dit dan in de ‘echte’ winkel, waar wordt gewerkt met wifi-tracking? En denk bijvoorbeeld aan gegevensverwerking in het kader van een arbeidsverhouding. Gangbare gegevensverwerkingen zoals cameratoezicht, controle op e-mail en internetgebruik zullen moeten worden herzien.3

Kortom, de AVG brengt niet alleen verandering, maar ook onduidelijkheid. Het lijkt er in mijn ogen op dat bij het schrijven van de AVG voornamelijk gedacht werd aan gegevensverwerking in een online omgeving. Gegevensverwerking vindt echter overal plaats. Er rijzen vragen met betrekking tot de betekenis van de nieuwe regeling voor de praktijk. Welke gevolgen zal de verordening hebben? Zal de verordening het beoogde doel waarborgen, zonder te veel afbreuk te doen aan andere belangen? Time will tell.

Namens de redactiecommissie,

Ramon Steenbergen

  1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), te raadplegen via: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&rid=1.
  2. Art. 99 lid 2 AVG.
  3. H. de Vries, ‘Nieuw licht op de elektronische schaduw. Over de gevolgen van de (concept) algemene verordening gegevensbescherming voor privacy in arbeidsverhoudingen’, TAP 2014/360, afl. 8, p. 419-425.