Skip to main content

Onterecht gebruik van toestemming

Dat voor de verwerking van persoonsgegevens altijd toestemming nodig is, is een groot misverstand. Als je een goede reden hebt om persoonsgegevens te verwerken, dan is daar waarschijnlijk al een andere (betere) grondslag voor. Je leest er alles over in dit opiniestuk

Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.

In artikel 6 lid 1 van de AVG worden de zes mogelijk grondslagen genoemd. Dit zijn:

  1. a) Toestemming: De betrokkene geeft in alle vrijheid expliciete toestemming. Je doet bijvoorbeeld mee aan een consumentenonderzoek, waarbij je akkoord gaat met het registeren van jouw contactgegevens.
  2. b) Uitvoering van overeenkomst: Het is voor de verwerker noodzakelijk om persoonsgegevens te verwerken, zodat kan worden voldaan aan een overeenkomst die de betrokkene heeft met een derde partij. Een overeenkomst is de acceptatie van een aanbod. Deze grondslag geldt bijvoorbeeld voor een online webshop waar jij een boek bestelt (aanbod: het boek, de acceptatie: de bestelling), maar ook voor de koeriersdienst die het boek vervolgens bij jou thuis bezorgt.
  3. c) Wettelijke verplichting: De wet zegt dat de verwerker verplicht is om bepaalde persoonsgegevens te verwerken. Zo is de Nederlandse gemeente waarin jij woont, wettelijk verplicht om te registeren dat jij daar woont.
  4. d) Bescherming vitale belangen: Iemands gegevens worden worden verwerkt voor het beschermen van zijn of haar vitale belangen. Met andere woorden, als jij bijvoorbeed in kritieke toestand naar het ziekenhuis wordt afgevoerd, dan mag medisch personeel jouw medische gegevens inzien als zij dat nodig achten om jouw leven te kunnen redden.
  5. e) Algemeen belang: De verwerker moet deze gegevens verwerken voor het kunnen uitvoeren van een taak die van algemeen belang is. Denk aan een fotograaf die een persfoto maakt voor in de krant. Daar kunnen mensen op staan. Het brengen van het nieuws is in ieders belang. Als bijvoorbeeld het imago of het belang van de personen op de foto niet worden geschaad, dan is volgens de wetgever voor journalistieke doeleinden toegestaan om foto’s te maken waar toevallig mensen opstaan en die te publiceren. Ook het kunnen uitvoeren van een taak in het kader van het openbaar gezag wordt gezien als algemeen belang.
  6. f) Gerechtvaardigd belang: Het gerechtvaardigd belang blijft een lastige. Bij het kiezen van deze grondslag moet bekeken worden of de verwerking mogelijk de grondrechten en fundamentele vrijheden van de betrokkene raakt. Vervolgens moet een goede afweging gemaakt worden wat zwaarder weegt; de noodzaak tot verwerken of de grondrechten en vrijheden van de betrokkenen. Dit geldt met name als de betrokkene een kind is. Over deze afweging kan in potentie een lange, ingewikkelde discussie ontstaan, met tegenstrijdige opvattingen vanuit beide zijden. Overheidsinstanties mogen bij de uitoefening van hun taak geen gebruik maken van deze grondslag. Als zij voor het uitoefenen van hun taak een bepaalde verwerking nodig hebben, dan dienen zij dat in wetgeving vast te leggen en dus vervolgens voor grondslag c (wettelijke verplichting) te gaan.

De grondslag ’toestemming’ is eigenlijk een aparte in dit rijtje. Voor alle overige grondslagen geldt dat er een valide reden is voor de verwerking van persoonsgegevens. De betrokkene heeft in veel gevallen zelf baat bij de verwerking of bij het feit dat dit soort verwerkingen zijn toegestaan. Als je van mening bent dat je een eerlijke reden hebt om persoonsgegevens te verwerken, dan is daar waarschijnlijk een grondslag voor anders dan ’toestemming’. Als er geen eerlijke reden is, maar je toch persoonsgegevens wil verwerken, dan is de enige manier door netjes te vragen of het alsnog mag. Zie daar de grondslag toestemming.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Rapporteren zonder resultaat; de frustratie van elke FG en CISO
Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?
Hoe voer je een Business Impact Analyse (BIA) uit?
Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact van verstoringen kunt minimaliseren. Maar wat is een BIA precies en hoe voer je deze uit? Dat lees je in deze blog.
Waarom is het lastig om structureel DPIA’s uit te voeren?
Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten deze structureel uitvoert. In deze blog leggen we uit waarom dit zo is en welke uitdagingen gemeenten tegenkomen

Meer recente berichten

Consultatiereactie Baseline Informatiebeveiliging Overheid 2
Verder lezen
Waarschuwingen na datalek komen pas laat en zijn vaag, ziet privacywaakhond AP
Verder lezen
Adoptie van Privacy Enhancing Technologies gaat traag
Verder lezen
Ministerie tegen cyberaanvallen en spionage opgezet in Denemarken
Verder lezen
Bedrijfsleven beschermen tegen digitale aanvallen?
Verder lezen
Veilig databeheer, de Nederlandse oplossing
Verder lezen
Telegram wijzigt privacybeleid, gaat gebruikersgegevens delen met autoriteiten
Verder lezen
Vanwege nationale veiligheid verbod VS op auto s met Chinese en Russische technologie
Verder lezen
Wereldwijd cyber netwerk blootgelegd
Verder lezen
Datalek Disney legt financiele gegevens en personeelsinformatie bloot
Verder lezen