De verwerking van persoonsgegevens, hoe zit dat ook alweer?
Volgens de privacywet de Algemene Verordening Persoonsgegevens (AVG) zijn persoonsgegevens alle informatie over geïdentificeerde of identificeerbare natuurlijke personen. Kortom, een breed begrip. Volgens dezelfde wet heb je om persoonsgegevens te verwerken een juridische grondslag nodig. Deze grondslag geeft jou het recht om persoonsgegevens te verwerken. De AVG kent zes grondslagen:
- Toestemming;
- Het uitvoeren van een overeenkomst;
- Wettelijke verplichting;
- Vitaal belang;
- Algemeen belang;
- Gerechtvaardigd belang.
Toestemming is een van de zes grondslagen waarop je de verwerking van persoonsgegevens kan baseren. Het is als organisatie altijd belangrijk dat je kan aantonen dat je een geldige grondslag gebruikt voor je verwerking. Ook dien je aan te tonen waarom je de betreffende grondslag gebruikt.
Een (dure) les uit de praktijk
Wij zien regelmatig dat toestemming verkeerd wordt begrepen en toegepast. Recent nog deelde de Autoriteit Persoonsgegevens een boete uit wegens het onterecht plaatsen van tracking cookies. Via deze cookies werden onder andere gevoelige gegevens over gezondheid verzameld, zonder geldige toestemming.
Hoewel de cookiebanner op het eerste gezicht in orde leek, voldeed deze volgens de privacy waakhond niet aan de gestelde eisen uit de AVG. Cookies werden geplaatst zonder toestemming, opties stonden vooraf aangevinkt en weigeren was niet mogelijk. Een boete kan naast financiële ook reputatieschade veroorzaken.
Het onzorgvuldig inzetten van toestemming kan leiden tot ongeldige verwerkingen van persoonsgegevens, verlies van vertrouwen bij gebruikers en, in het ergste geval, stevige boetes. Bovendien is toestemming met allerlei extra eisen omkleed waardoor het niet altijd de kortste route naar data is.
Waarom toestemming vaak de voorkeur krijgt
Toestemming wordt vaak gezien als een eenvoudige optie. Bijvoorbeeld, een formulier kan worden voorzien van een aanvinkvakje of een “akkoord”-knop. Zonder zorgvuldige afweging kan dit echter juridische risico’s met zich meebrengen, vooral wanneer een andere rechtsgrondslag onder de AVG mogelijk geschikter is.
Wat we vaak zien:
- Toestemming wordt toegepast in diverse bedrijfsprocessen, terwijl 'gerechtvaardigd belang' of 'overeenkomst' mogelijk eenvoudiger als juridische grondslag kunnen dienen.
- De opties voor toestemming zijn niet altijd duidelijk zichtbaar.
- Het proces voor het intrekken van toestemming is vaak niet volledig uitgewerkt.
- Het doel waarvoor toestemming wordt verleend is soms onduidelijk.
- Toestemming en algemene voorwaarden worden regelmatig gecombineerd.
Toegenomen toezicht op cookiebanners
Sinds 2024 voert de AP actief controles uit op cookiebanners. Websites worden automatisch gescand en bij gebreken aangesproken. Bij onvoldoende verbetering volgt een nader onderzoek waaruit een boetebesluit kan komen.
Veel organisaties moesten hun banners al aanpassen, onder andere omdat:
- De 'accepteer'-knop was duidelijk zichtbaar, terwijl de optie om te weigeren minder goed vindbaar was;
- Er waren vooraf geselecteerde keuzevakjes aanwezig;
- Tracking werd geactiveerd voordat toestemming was verleend.
De tijd van ‘een standaardbanner is voldoende’ lijkt nu dan ook echt voorbij. Juridische onderbouwing en gebruiksvriendelijkheid moeten hand in hand gaan.
Bewuster kiezen uit grondslagen
Toestemming is slechts een van de zes grondslagen die de AVG biedt. En vaak blijkt het niet de beste te zijn. Andere opties, zoals uitvoering van een overeenkomst, wettelijke verplichting of gerechtvaardigd belang, zijn vaak stabieler en minder foutgevoelig – mits zorgvuldig onderbouwd.
Drie praktische tips:
- Gebruik toestemming alleen waar nodig – En niet uit gewoonte.
- Leg je afwegingen vast – Zeker bij gerechtvaardigd belang is dat essentieel, en eenvoudiger dan vaak gedacht.
- Laat je cookiebanner toetsen – Voldoet mijn banner aan de vereisten uit de wet en die de AP hieraan stelt. Is de keuze die de betrokkene maakt echt vrij?
Tot slot
Toestemming is alleen waardevol als het goed geregeld is en vaak niet eens nodig—de AVG biedt zes grondslagen, waarvan toestemming de meest complexe is. Kies je wel bewust voor toestemming, zorg dan dat deze goed wordt opgezet.
_____
Data Expo
Wil je weten hoe je strategischer omgaat met grondslagen, en hoe je toestemming wel kan gebruiken? Kom dan vooral naar onze sessie tijdens de Data Expo 2025.
_____
