Onterecht gebruik van toestemming

Dat voor de verwerking van persoonsgegevens altijd toestemming nodig is, is een groot misverstand. Als je een goede reden hebt om persoonsgegevens te verwerken, dan is daar waarschijnlijk al een andere (betere) grondslag voor. Je leest er alles over in dit opiniestuk

Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.

In artikel 6 lid 1 van de AVG worden de zes mogelijk grondslagen genoemd. Dit zijn:

  1. a) Toestemming: De betrokkene geeft in alle vrijheid
    expliciete toestemming. Je doet bijvoorbeeld mee aan een
    consumentenonderzoek, waarbij je akkoord gaat met het registeren van
    jouw contactgegevens.
  2. b) Uitvoering van overeenkomst: Het is voor de verwerker
    noodzakelijk om persoonsgegevens te verwerken, zodat kan worden voldaan
    aan een overeenkomst die de betrokkene heeft met een derde partij. Een
    overeenkomst is de acceptatie van een aanbod. Deze grondslag geldt
    bijvoorbeeld voor een online webshop waar jij een boek bestelt (aanbod:
    het boek, de acceptatie: de bestelling), maar ook voor de koeriersdienst
    die het boek vervolgens bij jou thuis bezorgt.
  3. c) Wettelijke verplichting: De wet zegt dat de verwerker
    verplicht is om bepaalde persoonsgegevens te verwerken. Zo is de
    Nederlandse gemeente waarin jij woont, wettelijk verplicht om te
    registeren dat jij daar woont.
  4. d) Bescherming vitale belangen: Iemands gegevens worden
    worden verwerkt voor het beschermen van zijn of haar vitale belangen.
    Met andere woorden, als jij bijvoorbeed in kritieke toestand naar het
    ziekenhuis wordt afgevoerd, dan mag medisch personeel jouw medische
    gegevens inzien als zij dat nodig achten om jouw leven te kunnen redden.
  5. e) Algemeen belang: De verwerker moet deze gegevens verwerken
    voor het kunnen uitvoeren van een taak die van algemeen belang is. Denk
    aan een fotograaf die een persfoto maakt voor in de krant. Daar kunnen
    mensen op staan. Het brengen van het nieuws is in ieders belang. Als
    bijvoorbeeld het imago of het belang van de personen op de foto niet
    worden geschaad, dan is volgens de wetgever voor journalistieke
    doeleinden toegestaan om foto’s te maken waar toevallig mensen opstaan
    en die te publiceren. Ook het kunnen uitvoeren van een taak in het kader
    van het openbaar gezag wordt gezien als algemeen belang.
  6. f) Gerechtvaardigd belang: Het gerechtvaardigd belang blijft
    een lastige. Bij het kiezen van deze grondslag moet bekeken worden of de
    verwerking mogelijk de grondrechten en fundamentele vrijheden van de
    betrokkene raakt. Vervolgens moet een goede afweging gemaakt worden wat
    zwaarder weegt; de noodzaak tot verwerken of de grondrechten en
    vrijheden van de betrokkenen. Dit geldt met name als de betrokkene een
    kind is. Over deze afweging kan in potentie een lange, ingewikkelde
    discussie ontstaan, met tegenstrijdige opvattingen vanuit beide zijden.
    Overheidsinstanties mogen bij de uitoefening van hun taak geen gebruik
    maken van deze grondslag. Als zij voor het uitoefenen van hun taak een
    bepaalde verwerking nodig hebben, dan dienen zij dat in wetgeving vast
    te leggen en dus vervolgens voor grondslag c (wettelijke verplichting)
    te gaan.

De grondslag ‘toestemming’ is eigenlijk een aparte in dit rijtje.
Voor alle overige grondslagen geldt dat er een valide reden is voor de
verwerking van persoonsgegevens. De betrokkene heeft in veel gevallen
zelf baat bij de verwerking of bij het feit dat dit soort verwerkingen
zijn toegestaan. Als je van mening bent dat je een eerlijke reden hebt
om persoonsgegevens te verwerken, dan is daar waarschijnlijk een
grondslag voor anders dan ‘toestemming’. Als er geen eerlijke reden is,
maar je toch persoonsgegevens wil verwerken, dan is de enige manier door
netjes te vragen of het alsnog mag. Zie daar de grondslag toestemming.


Verder lezen bij de bron

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Tips voor het beveiligen van Office 365
Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.
Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?
Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.
Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?
In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Meer recente berichten

Jaarverslag AP 2019: meer focus op handhaving
Verder lezen
CIP Cast – Privacy webinar: AVG in tijden van corona
Verder lezen
Gemeenten bieden onveilige gast-wifi
Verder lezen
Webinars Wachtwoordkluizen
Verder lezen
Brussel: te weinig mankracht en coördinatie bij handhaving AVG
Verder lezen
Minister Dekker benadrukt zorgvuldige omgang wifi-tracking
Verder lezen
Onvoldoende urgentie voor beveiligen van overheidsmail
Verder lezen
‘Het stellen van eisen is niet het einde van elk gesprek’
Verder lezen
Wat je vandaag al moet met quantumtechnologie
Verder lezen
Spamfilter en IPv6
Verder lezen