Onterecht gebruik van toestemming
Dat voor de verwerking van persoonsgegevens altijd toestemming nodig is, is een groot misverstand. Als je een goede reden hebt om persoonsgegevens te verwerken, dan is daar waarschijnlijk al een andere (betere) grondslag voor. Je leest er alles over in dit opiniestuk
Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.
In artikel 6 lid 1 van de AVG worden de zes mogelijk grondslagen genoemd. Dit zijn:
- a) Toestemming: De betrokkene geeft in alle vrijheid expliciete toestemming. Je doet bijvoorbeeld mee aan een consumentenonderzoek, waarbij je akkoord gaat met het registeren van jouw contactgegevens.
- b) Uitvoering van overeenkomst: Het is voor de verwerker noodzakelijk om persoonsgegevens te verwerken, zodat kan worden voldaan aan een overeenkomst die de betrokkene heeft met een derde partij. Een overeenkomst is de acceptatie van een aanbod. Deze grondslag geldt bijvoorbeeld voor een online webshop waar jij een boek bestelt (aanbod: het boek, de acceptatie: de bestelling), maar ook voor de koeriersdienst die het boek vervolgens bij jou thuis bezorgt.
- c) Wettelijke verplichting: De wet zegt dat de verwerker verplicht is om bepaalde persoonsgegevens te verwerken. Zo is de Nederlandse gemeente waarin jij woont, wettelijk verplicht om te registeren dat jij daar woont.
- d) Bescherming vitale belangen: Iemands gegevens worden worden verwerkt voor het beschermen van zijn of haar vitale belangen. Met andere woorden, als jij bijvoorbeed in kritieke toestand naar het ziekenhuis wordt afgevoerd, dan mag medisch personeel jouw medische gegevens inzien als zij dat nodig achten om jouw leven te kunnen redden.
- e) Algemeen belang: De verwerker moet deze gegevens verwerken voor het kunnen uitvoeren van een taak die van algemeen belang is. Denk aan een fotograaf die een persfoto maakt voor in de krant. Daar kunnen mensen op staan. Het brengen van het nieuws is in ieders belang. Als bijvoorbeeld het imago of het belang van de personen op de foto niet worden geschaad, dan is volgens de wetgever voor journalistieke doeleinden toegestaan om foto’s te maken waar toevallig mensen opstaan en die te publiceren. Ook het kunnen uitvoeren van een taak in het kader van het openbaar gezag wordt gezien als algemeen belang.
- f) Gerechtvaardigd belang: Het gerechtvaardigd belang blijft een lastige. Bij het kiezen van deze grondslag moet bekeken worden of de verwerking mogelijk de grondrechten en fundamentele vrijheden van de betrokkene raakt. Vervolgens moet een goede afweging gemaakt worden wat zwaarder weegt; de noodzaak tot verwerken of de grondrechten en vrijheden van de betrokkenen. Dit geldt met name als de betrokkene een kind is. Over deze afweging kan in potentie een lange, ingewikkelde discussie ontstaan, met tegenstrijdige opvattingen vanuit beide zijden. Overheidsinstanties mogen bij de uitoefening van hun taak geen gebruik maken van deze grondslag. Als zij voor het uitoefenen van hun taak een bepaalde verwerking nodig hebben, dan dienen zij dat in wetgeving vast te leggen en dus vervolgens voor grondslag c (wettelijke verplichting) te gaan.
De grondslag ’toestemming’ is eigenlijk een aparte in dit rijtje.
Voor alle overige grondslagen geldt dat er een valide reden is voor de
verwerking van persoonsgegevens. De betrokkene heeft in veel gevallen
zelf baat bij de verwerking of bij het feit dat dit soort verwerkingen
zijn toegestaan. Als je van mening bent dat je een eerlijke reden hebt
om persoonsgegevens te verwerken, dan is daar waarschijnlijk een
grondslag voor anders dan ’toestemming’. Als er geen eerlijke reden is,
maar je toch persoonsgegevens wil verwerken, dan is de enige manier door
netjes te vragen of het alsnog mag. Zie daar de grondslag toestemming.
- De EU moet zichzelf boete geven: houdt zich niet aan eigen privacyregels - 17 januari 2025
- Nederlandse hackers vinden kwetsbaarheden in VPN server SonicWall - 17 januari 2025
- 2025 brengt nieuwe cyberdreigingen met zich mee - 16 januari 2025
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
De EU moet zichzelf boete geven: houdt zich niet aan eigen privacyregels | Verder lezen | |
Nederlandse hackers vinden kwetsbaarheden in VPN server SonicWall | Verder lezen | |
2025 brengt nieuwe cyberdreigingen met zich mee | Verder lezen | |
Achterstallig onderhoud in database van politie is ernstige overtreding van privacywetgeving | Verder lezen | |
Europese privacywaakhond: bekijk per geval of een ai model anoniem is | Verder lezen | |
cybersecurity in 2024: trends, uitdagingen en oplossingen | Verder lezen | |
De Cyber Resilience Act is sinds 10 december in werking | Verder lezen | |
Autoriteit Persoonsgegevens kritisch op privacy aspecten in wetsvoorstel financieel toezicht | Verder lezen | |
Amsterdam zet niet meer in op slimme verkeerslichten wegens privacywetgeving | Verder lezen | |
Cybersecuritybedrijven zien AI cyberaanvallen als trend voor 2025 | Verder lezen |