Onterecht gebruik van toestemming
Dat voor de verwerking van persoonsgegevens altijd toestemming nodig is, is een groot misverstand. Als je een goede reden hebt om persoonsgegevens te verwerken, dan is daar waarschijnlijk al een andere (betere) grondslag voor. Je leest er alles over in dit opiniestuk
Een veel gemaakte fout rondom de Algemene Verordening Gegevensbescherming (AVG) is dat voor de verwerking van persoonsgegevens altijd toestemming nodig is. Om persoonsgegevens te mogen verwerken heb je een grondslag nodig. In normaal Nederlands betekent dit dat je een juridisch onderbouwde reden moet hebben om dit te mogen doen. De AVG biedt meerdere grondslagen, waar toestemming er slechts een van is. Voordat we dieper ingaan op toestemming, bekijken we eerst welke grondslagen de AVG biedt.
In artikel 6 lid 1 van de AVG worden de zes mogelijk grondslagen genoemd. Dit zijn:
- a) Toestemming: De betrokkene geeft in alle vrijheid expliciete toestemming. Je doet bijvoorbeeld mee aan een consumentenonderzoek, waarbij je akkoord gaat met het registeren van jouw contactgegevens.
- b) Uitvoering van overeenkomst: Het is voor de verwerker noodzakelijk om persoonsgegevens te verwerken, zodat kan worden voldaan aan een overeenkomst die de betrokkene heeft met een derde partij. Een overeenkomst is de acceptatie van een aanbod. Deze grondslag geldt bijvoorbeeld voor een online webshop waar jij een boek bestelt (aanbod: het boek, de acceptatie: de bestelling), maar ook voor de koeriersdienst die het boek vervolgens bij jou thuis bezorgt.
- c) Wettelijke verplichting: De wet zegt dat de verwerker verplicht is om bepaalde persoonsgegevens te verwerken. Zo is de Nederlandse gemeente waarin jij woont, wettelijk verplicht om te registeren dat jij daar woont.
- d) Bescherming vitale belangen: Iemands gegevens worden worden verwerkt voor het beschermen van zijn of haar vitale belangen. Met andere woorden, als jij bijvoorbeed in kritieke toestand naar het ziekenhuis wordt afgevoerd, dan mag medisch personeel jouw medische gegevens inzien als zij dat nodig achten om jouw leven te kunnen redden.
- e) Algemeen belang: De verwerker moet deze gegevens verwerken voor het kunnen uitvoeren van een taak die van algemeen belang is. Denk aan een fotograaf die een persfoto maakt voor in de krant. Daar kunnen mensen op staan. Het brengen van het nieuws is in ieders belang. Als bijvoorbeeld het imago of het belang van de personen op de foto niet worden geschaad, dan is volgens de wetgever voor journalistieke doeleinden toegestaan om foto’s te maken waar toevallig mensen opstaan en die te publiceren. Ook het kunnen uitvoeren van een taak in het kader van het openbaar gezag wordt gezien als algemeen belang.
- f) Gerechtvaardigd belang: Het gerechtvaardigd belang blijft een lastige. Bij het kiezen van deze grondslag moet bekeken worden of de verwerking mogelijk de grondrechten en fundamentele vrijheden van de betrokkene raakt. Vervolgens moet een goede afweging gemaakt worden wat zwaarder weegt; de noodzaak tot verwerken of de grondrechten en vrijheden van de betrokkenen. Dit geldt met name als de betrokkene een kind is. Over deze afweging kan in potentie een lange, ingewikkelde discussie ontstaan, met tegenstrijdige opvattingen vanuit beide zijden. Overheidsinstanties mogen bij de uitoefening van hun taak geen gebruik maken van deze grondslag. Als zij voor het uitoefenen van hun taak een bepaalde verwerking nodig hebben, dan dienen zij dat in wetgeving vast te leggen en dus vervolgens voor grondslag c (wettelijke verplichting) te gaan.
De grondslag ’toestemming’ is eigenlijk een aparte in dit rijtje.
Voor alle overige grondslagen geldt dat er een valide reden is voor de
verwerking van persoonsgegevens. De betrokkene heeft in veel gevallen
zelf baat bij de verwerking of bij het feit dat dit soort verwerkingen
zijn toegestaan. Als je van mening bent dat je een eerlijke reden hebt
om persoonsgegevens te verwerken, dan is daar waarschijnlijk een
grondslag voor anders dan ’toestemming’. Als er geen eerlijke reden is,
maar je toch persoonsgegevens wil verwerken, dan is de enige manier door
netjes te vragen of het alsnog mag. Zie daar de grondslag toestemming.
- Niemand wil een abonnement op Facebook of Instagram - 8 december 2023
- Schendingen van informatiebeveiliging door personeel richten evenveel schade aan als hacken, blijkt uit onderzoek van Kaspersky - 8 december 2023
- IBD publiceert aanpak cyberteam - 7 december 2023
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Niemand wil een abonnement op Facebook of Instagram | Verder lezen | |
Schendingen van informatiebeveiliging door personeel richten evenveel schade aan als hacken, blijkt uit onderzoek van Kaspersky | Verder lezen | |
IBD publiceert aanpak cyberteam | Verder lezen | |
Overheid poogt data impasse te doorbreken | Verder lezen | |
Ministerie moet fraudesleepnetten in arme wijken definitief stoppen | Verder lezen | |
CIO beraad Rijk krijgt meerdere onderraden | Verder lezen | |
NIS2: tijdig voorbereid op Europese wettelijke cybersecurity regels | Verder lezen | |
Enschede probeert opnieuw onder boete van 6 ton voor privacy schending uit te komen | Verder lezen | |
Minister: bestuurder moet altijd toestemming geven voor delen voertuigdata | Verder lezen | |
Rekenkamercommissie komt met rapport informatieveiligheid | Verder lezen |