De artikel 29 werkgroep, het overlegorgaan van alle Europese privacytoezichthouders, heeft in juli van dit jaar een analyse gepresenteerd over het begrip ’toestemming’ zoals dit gebruikt wordt in de Privacy Richtlijn 95/46/EC en de Wet bescherming persoonsgegevens (Wbp). Toestemming is één van de grondslagen op basis waarvan persoonsgegevens verwerkt mogen worden.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Voor iedere verwerking van persoonsgegevens heb je een wettelijke grondslag nodig, bijvoorbeeld: uitvoeren van een overeenkomst; wettelijke verplichting en gerechtvaardigd belang. Als geen van de wettelijke grondslagen van toepassing is, zal toestemming moeten gevraagd van de natuurlijke persoon wiens persoonsgegevens het betreft (betrokkene). Toestemming wordt in artikel 1 Wbp omschreven als ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’. Deze begripsomschrijving is te herleiden uit artikel 2 sub h van Richtlijn 95/46/EC, waarin staat; ‘any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed’.
Onderdelen definitie nader toegelicht
‘… any… indication of his wishes.. signifies…’
Er bestaat geen vormvereiste voor het geven van toestemming. Er moet wel een indicatie zijn van wat de wensen van de betreffende persoon inhouden. De manier waarop een persoon zijn wensen kenbaar maakt, wordt bij de beoordeling meegenomen. Voorbeelden zijn een handtekening, een mondeling geuite toestemming en het achterlaten van een visitekaartje in een glazen kom. De artikel 29 werkgroep geeft wel aan dat voor toestemming een actieve houding nodig is. Het zenden van een brief naar klanten waarin wordt vermeld dat hun gegevens gebruikt worden, tenzij de klant binnen 2 weken te kennen geeft dit niet te willen, valt hier niet onder.
‘… freely given…’
Toestemming is alleen geldig als de betrokkene in staat is geweest een echte keuze te maken en dat hij niet te maken heeft gehad met bedrog, intimidatie, dwang of negatieve consequenties die volgen als geen toestemming wordt verleend. Er zijn verhoudingen, bijv. de werkgever – werknemer verhouding, waarin toestemming in beginsel niet vrij gegeven kan worden. De werkgroep zegt hier het volgende over: ‘where consent is required from a worker, and there is a real or potential relevant prejudice that arises from not consenting, the consent is not valid in terms of satisfying either article 7 or article 8 as it is not freely given’.
‘… specific…’
Wil een toestemming geldig zijn, dan dient deze specifiek te zijn. Blanco toestemmingen zonder specificatie van het doel van het verwerken zijn onacceptabel. De toestemming moet begrijpelijk en duidelijk zijn en precies verwijzen naar het doel, de omvang en de consequenties van het verwerken van de gegevens.
‘… informed…’
Betrokkenen moeten voorafgaand aan het geven van toestemming worden geïnformeerd omtrent alle relevante informatie ten aanzien van de verwerking van persoonsgegevens. De informatie moet begrijpelijk en toegankelijk zijn. De informatie moet duidelijk zichtbaar en prominent aanwezig zijn. Hoe moeilijker het voor een doorsnee persoon is om alle elementen van het verwerken te begrijpen, hoe groter de inspanning van de verwerker moet zijn om duidelijke en begrijpelijke informatie te verstrekken.
‘…Unambiguous…’
Om rechtsgeldig te zijn, dient toestemming ondubbelzinnig te zijn. Er mag geen twijfel bestaan over de intentie van de betrokkene anders is er sprake van dubbelzinnigheid. De procedures die tot toestemming leiden, moeten duidelijk zijn; de verwerker moet er zeker van zijn dat hij met de juiste persoon te maken heeft; en de verwerker moet kunnen aantonen dat de toestemming inderdaad gegeven is. Ondubbelzinnige toestemming kan volgens de artikel 29 werkgroep niet gebaseerd worden op procedures waarin de toestemming is gebaseerd op inactiviteit of een stilzwijgen van de betrokken persoon. Ter illustratie, op sommige social network sites wordt persoonlijke informatie automatisch zichtbaar voor “vrienden van vrienden”. Gebruikers die dat niet willen kunnen deze optie uitzetten. Uit het feit dat gebruikers deze optie niet uitzetten, kan geen ondubbelzinnige toestemming worden afgeleid.
Ook toestemming nodig voor het gebruik van cookies
Het gebruik van cookies is de afgelopen maanden volop in het nieuws. Een cookie is een klein tekstbestand dat een server naar een browser van een internetbezoeker stuurt. Het bestand wordt op de browser opgeslagen zodat de server de bezoeker bij een volgend bezoek herkent. Aan het tekstbestand kan allerhande informatie worden toegevoegd, bijvoorbeeld het clickgedrag op een website. Dit kan interessant zijn voor marketingdoeleinden, aangezien de server weet waar de interesses van de betreffende persoon liggen. In de onlangs aangepaste E-Privacy Richtlijn (2002/58/EC) zijn de regels voor het plaatsen van cookies gewijzigd van een ‘opt-out’ naar een ‘opt-in’. De Richtlijn moet nog in Nederlandse wetgeving worden geïmplementeerd. Voordat een cookie kan worden geplaatst, moet dus toestemming worden gevraagd aan de betrokkene. Deze toestemming moet aan de hierboven uitgewerkte eisen voldoen. Hoe een website in de praktijk moet worden ingericht, zonder gebruiksonvriendelijk te worden door allerhande pop-ups voor het vragen van toestemming, geeft de artikel 29 werkgroep niet aan. Dit zullen bedrijven zelf moeten bepalen. De Engelse toezichthouder heeft een poging ondernomen, zie http://www.ico.gov.uk/. Helaas betreft het een puur informatieve website zonder dat het clickgedrag van bezoekers voor marketingdoeleinden wordt bijgehouden.
mr. Wike van den Bout, Van Benthem & Keulen N.V.