image

Juridische vraag: Waarom wordt er tegenwoordig overal om toestemming voor het verwerken van mijn gegevens gevraagd?

woensdag 11 september 2019, 16:27 door Arnoud Engelfriet, 12 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. De toestemmingen die hier gevraagd worden zijn volgens mij gewoon nodig om mijn auto te kunnen herstellen en lijken mij dus overbodig, zou hij zonder toestemming anders geen factuur sturen? Lijkt me niet. Waarom doet iedereen dat?

Antwoord: Dit is niet direct een securityvraag, maar ik zie dezelfde onzin opduiken bij wel security-gerelateerde kwesties dus ik behandel hem hier toch even. (Voorbeelden in de securitysfeer: toestemming om werknemers te mogen volgen, toestemming op een pc in te loggen als reparateur, toestemming voor cameratoezicht en monitoren wifi in hotel.)

Als ik even zo vrij mag zijn op donderdagochtend: dit is pertinente onzin, en wie toestemmingsformulieren zit te maken onder de AVG mag daar gelijk mee ophouden. Kan me niet schelen wat je doet, je doet het fout. Behalve als je met nieuwsbrieven bezig bent.

Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.

Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan. Bij die garage: je hebt gegevens nodig voor de overeenkomst, je wilt je factuur betaald krijgen en soms moeten gegevens ingewonnen bij de dealer of gaat een stukje van het werk door een ander (zoals de verzekeraar). Dat mag gewoon van de AVG, we noemen dat "noodzaak overeenkomst", grondslag b.

Ook kun je je vaak beroepen op de grondslag van het eigen legitiem belang (sub f), waarbij je dus een afweging van belangen maakt. Toestemming vragen is daarbij niet aan de orde. Verwarrend is daarbij wel dat je vaak een opt-out invoert als deel van die belangenafweging, want met opt-out houd je meer rekening met mensen hun privacybelang, maar die opt-out is heel wat anders dan toestemming. En je moet niet vergeten die afweging daadwerkelijk te maken en op papier te zetten, dat is waar Manfield over struikelde toen ze vingerafdrukherkenning wilde inzetten bij hun personeel.

Mij bekruipt het gevoel dat mensen niet weten hoe zo'n afweging te maken, of het eng vinden een standpunt in te nemen en dan maar toestemming gaan vragen. "Dan zit je in ieder geval goed, toch?" Nope. Al is het maar omdat je óók bij toestemming een noodzakelijkheids- en proportionaliteitstoets moet maken, en geen hond die dat doet bij z'n toestemmingsformulier.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je 'm gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.

Maar afgezien van nieuwsbrieven dus is er géén zakelijk belang denkbaar waarbij je gaat drijven op toestemming. Ook niet in de securitywereld. Doorzoekingen, monitoring, surveillance: legitiem belang noem je dat, en je neemt natuurlijk gepaste maatregelen om de privacy van je personeel, klanten of bezoekers te beschermen onder het kopje van de belangenafweging. Kom je er niet uit met die afweging ("Laptops van bezoekers moeten bij de receptie worden voorzien van MDM software inclusief machtiging tot wissen ter discretie van security officer") dan heeft toestemming ook weinig zin. Die trekken mensen 1 seconde later rechtmatig weer in, en dan?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
11-09-2019, 16:40 door Anoniem
Geef gewoon eens geen toestemming. Wetje leggen dat je toch een factuur krijgt?

En eh... strikt genomen denk ik dat wanneer je bij afhalen direct betaalt, ze zelfs die gegevens niet nodig hebben...
11-09-2019, 16:51 door Anoniem
Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je 'm gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.
Nee hoor. De grondslag daarvoor is de uitvoering van overeenkomst. Ik bied een nieuwsbrief aan (het aanbod) en jij schrijft je daarvoor in (de acceptatie van mijn aanbod). Dat is de overeenkomst. Je kan de overeenkomst opzeggen door je uit te schrijven, waardoor de grondslag voor de verwerking van jouw e-mailadres weer vervalt. Dus ook daar hoeven we niet ingewikkeld over te doen.

Toestemming als grondslag is de vreemde eend in de bijt. De overige 5 grondslagen hebben iets eerlijks en rechtvaardigs in zich. Toestemming heeft dat niet. In de meeste gevallen wordt namelijk alleen de verwerker beter van de verwerker. Aan het sturen van een nieuwsbrief is niets oneerlijks of onrechtvaardigs als iemand zich daarvoor inschrijft. Toestemming als grondslag is dus niet nodig.
11-09-2019, 17:23 door Anoniem
Door Anoniem: Geef gewoon eens geen toestemming. Wetje leggen dat je toch een factuur krijgt?
Wellicht verlies je dat want het zou goed kunnen dat het gewoon niet tot een prestatie en daaropvolgend factuurmoment komt als je geen toestemming geeft.

Ik denk dat het vergelijkbaar is met de bekende cookie toestemming. Men doet het omdat 1. iedereen het doet en 2. voor het geval dat.
Stel je voor dat volgend jaar ineens iemand een proces voert en dat wint en een hoop schadevergoeding claimt en jij dan al die tijd hetzelfde gedaan hebt ook zonder toestemming. Dan ben je toch liever ingedekt.

En wellicht is het ook een poging om grind in de machine te gooien. Net zoals bij die cookiewet. Net zo lang vervelende schermen tonen met steeds meer opties en steeds meer gedoe tot de burger bij de politiek SMEEKT om die wet af te schaffen.
11-09-2019, 19:28 door karma4
Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan.
Zou het AP daar wel mee eens zijn? Het is die instantie die begonnen is dat er overal toestemming voor gevraagd moet worden. Klassenfoto camera's iedereen moet er toestemming voor geven dat er iemand een foto voor eigen gebruik zou kunnen maken. AED's ofwel hulpverleners mogen ogen niet gevonden kunnen worden wat de naam is een privacy issue.
12-09-2019, 08:26 door PietdeVries - Bijgewerkt: 12-09-2019, 08:27
Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen.

Misschien hebben we dat AVG te lastig gemaakt, en is er in de aanloopperiode teveel nadruk gelegd op de enorme boetes die er op een overtreding zouden komen te staan? Wetteksten zijn net als grappen - als je ze uit moet leggen dan zijn ze wellicht niet goed. Het is Henk & Ingrid met hun webshopje wel duidelijk dat ze gegevens verwerken, maar wat ze precies moeten doen is niet snel helder te krijgen uit al die teksten. Oplossing: vooraf toestemming vragen, zit je vast goed.

Ik heb dat artikel 6 er even bijgezocht:


1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.


Neem sub d: "noodzakelijk om de vitale belangen van de betrokkene of een ander natuurlijk persoon te beschermen". Wat zijn vitale belangen? En maakt het niet uit om welk ander natuurlijk persoon dat gaat? Hoe ver kan je zo'n verhaal trekken?
Dan sub e: "voor de vervulling van een taak van algemeen belang". Een taak... Van algemeen belang. Hoe un-smart kan je het maken?
Over sub f zullen we het maar niet hebben, want wie kan bepalen welke belangen zwaarder wegen? Vast niet Henk & Ingrid met hun webshop.

En daarom houdt iedereen dus op met lezen na sub a: toestemming vragen. Helder, concreet en inderdaad omslachtig - maar dan hadden de heren de rest van het verhaal maar duidelijker op moeten schrijven.
12-09-2019, 09:25 door Arnoud Engelfriet
Ik bied een nieuwsbrief aan (het aanbod) en jij schrijft je daarvoor in (de acceptatie van mijn aanbod). Dat is de overeenkomst. Je kan de overeenkomst opzeggen door je uit te schrijven, waardoor de grondslag voor de verwerking van jouw e-mailadres weer vervalt. Dus ook daar hoeven we niet ingewikkeld over te doen.
Een heel sympathiek standpunt, dat alleen juridisch niet past: in de Telecommunicatiewet staat helaas expliciet dat het toesturen van nieuwsbrieven e.d. niet mag zonder toestemming. Ook als je onder de AVG de grondslag overeenkomst hebt geconstrueerd.

Onder de AVG sec ga ik met je mee, maar dat is helaas niet genoeg.
12-09-2019, 10:32 door Anoniem
Door Anoniem:
Door Anoniem: Geef gewoon eens geen toestemming. Wetje leggen dat je toch een factuur krijgt?
Wellicht verlies je dat want het zou goed kunnen dat het gewoon niet tot een prestatie en daaropvolgend factuurmoment komt als je geen toestemming geeft.

Ik zou het anders doen.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Ik geef toestemming om mijn gegevens te verwerken voor en tijdens de reparatie. Maar trek die in zodra ik de auto op kom halen. Dan mogen ze volgens hun eigen beleid mijn gegevens niet meer verwerken voor de factuur.

Peter
12-09-2019, 13:31 door Anoniem
Sowieso is dat hele toestemmingen verhaal nvt als er sprake is van een bepaalde afhankelijkheid of gezagsverhouding. Toestemming moet ondubbelzinnig (betrokkene moet vooraf goed en volledig geïnformeerd zijn) en in volledige vrijheid, zonder consequenties, gegeven worden. Kom daar maar eens aan als je auto stuk langs de snelweg staat en de monteur repareert alleen als je toestemming geeft voor verwerking van je gegevens. Nu kun je nog overwegen om een andere te nemen maar als zaken wat meer formelere worden, zoals bij overheden, heb je vaak geen keuze en is toestemming geven sowieso een wassen neus. En nog steeds zijn er ambtenaren die denken dat ze met toestemming van de burger alles met hun gegevens mogen doen.
Voor de AVG 2,0 zou hier eens goed naar gekeken moeten worden, net als het gerechtvaardigd belang. Dat wordt ook volledig buiten de context van de wet misbruikt om gegevens te verwerken die normaliter niet verwerkt zouden mogen worden.
De AVG maakt veel mogelijk zolang je er maar transparant over bent en in de praktijk een beetje goed kan liegen, kijk maar hoe Microsft nog steeds wegkomt met hun graai gedrag bij Windows 10.
12-09-2019, 16:00 door Anoniem
Misschien een kleine aanvulling op de nieuwsbrieven, het gebruik van foto's voor commerciële doeleinden. Ook bij foto's voor commerciële doeleinden heb je te maken met unieke persoonsgegevens, portretrecht.

Verwar commerciële doeleinden niet met nieuws doeleinden, hiervoor gelden hele andere regels.
12-09-2019, 16:49 door Anoniem
Door Anoniem:
Door Anoniem: Geef gewoon eens geen toestemming. Wetje leggen dat je toch een factuur krijgt?
Ik geef toestemming om mijn gegevens te verwerken voor en tijdens de reparatie. Maar trek die in zodra ik de auto op kom halen. Dan mogen ze volgens hun eigen beleid mijn gegevens niet meer verwerken voor de factuur.
Nee zo werkt dat niet. Voor het verwerken van gegevens die wettelijk noodzakelijk zijn (bijv de zaken die men van de belastingdienst moet zetten op een factuur en bewaren in de administratie) hoef je geen toestemming te geven en die kun je ook niet intrekken.

Het enige wat er zou kunnen zijn is dat de garage daarnaast ook een lijst bijhoudt van klanten die ze eerder gehad hebben met allerlei informatie, die ze later eventueel kunnen gebruiken om je te benaderen met reclame enzo, en daar moet je al dan niet toestemming voor geven.
Doe je dat niet dan kunnen ze die informatie niet bewaren. Maar als ze genoeg klanten hebben kunnen ze ook weigeren voor je te werken, bijvoorbeeld als het teveel gedoe is om opdrachten anoniem in het systeem te zetten.
12-09-2019, 19:11 door karma4
Door PietdeVries: ….
[
Over sub f zullen we het maar niet hebben, want wie kan bepalen welke belangen zwaarder wegen? Vast niet Henk & Ingrid met hun webshop.

En daarom houdt iedereen dus op met lezen na sub a: toestemming vragen. Helder, concreet en inderdaad omslachtig - maar dan hadden de heren de rest van het verhaal maar duidelijker op moeten schrijven.
sub f. Voorbeeld: de bereikbaarheid van een hulpverlener, te denken valt aan een AED.
Deze bereikbaarheid werd verondersteld een probleem te zijn wegens de AVG want er zijn persoonsgegevens bij betrokken.
18-09-2019, 21:54 door Anoniem
Door Arnoud Engelfriet:
Een heel sympathiek standpunt, dat alleen juridisch niet past: in de Telecommunicatiewet staat helaas expliciet dat het toesturen van nieuwsbrieven e.d. niet mag zonder toestemming. Ook als je onder de AVG de grondslag overeenkomst hebt geconstrueerd.
Waar precies in de Telecommunicatiewet staat dat? Ik heb dat er namelijk niet in kunnen vinden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.