Toestemming is belangrijk bij gegevensbescherming omdat het individuen in staat stelt te bepalen hoe hun persoonlijke informatie wordt verzameld, gebruikt en gedeeld - niemand houdt van het idee dat iemand anders hen kan controleren of hun persoonlijke gegevens kan verwerken zonder hun toestemming!
Toestemming is essentieel in de GDPR, en daarom schreven we er een tijdje geleden over in onze blog. In onze blog over rechtsgrondslagen hebben we ook uitgelegd dat toestemming in principe niet vereist is om persoonsgegevens te verwerken onder de GDPR: er bestaan andere rechtsgrondslagen in de GDPR1, elk met zijn eigen use cases en beperkingen.
Toestemming is ook gemakkelijk te misbruiken: het is niet moeilijk om iemand te dwingen of te misleiden om in te stemmen met iets wat hij niet wil. Daarom stelt de wetgeving inzake gegevensbescherming (en de wetgeving in het algemeen) specifieke eisen aan de geldigheid van toestemming.
De GDPR vormt hierop geen uitzondering. Toestemming onder de GDPR moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn2. Bovendien moet de toestemming kunnen worden ingetrokken. Deze vereisten zijn zeer belangrijk in de praktijk!
Laten we erin duiken!
De vereisten voor toestemming
Vrijelijk gegeven
In een notendop, toestemming is vrij gegeven wanneer de betrokkene een echte keuze heeft in de zaak3. Dit is doorgaans niet het geval wanneer er een machtsonevenwicht bestaat tussen de voor de verwerking verantwoordelijke en de betrokkene.
Een arbeidsverhouding is een schoolvoorbeeld van beperkte toestemming, omdat een werkgever van zijn positie gebruik kan maken om een werknemer onder druk te zetten om toestemming te geven. Als algemene regel4 kan de werkgever de gegevens van de werknemer niet verwerken op basis van valse toestemming en moet hij zich in plaats daarvan op een andere rechtsgrond baseren.
Individuele autonomie is een eeuwenoud probleem in het recht: mensen kunnen op papier vrij zijn, maar onder economische, culturele en sociale druk staan. De wetgeving inzake gegevensbescherming vormt hierop geen uitzondering, zodat er een grijs gebied is met betrekking tot in vrijheid gegeven toestemming.
Specifiek
Toestemming is specifiek wanneer zij wordt gegeven voor een specifiek doel. U kunt bijvoorbeeld niet om een e-mail vragen om uw publiek een nieuwsbrief te bezorgen en vervolgens de gegevens gebruiken om promoties te sturen. In dat geval moet u twee verschillende toestemmingen verzamelen, één voor elk doel.
Dit vereiste gaat hand in hand met het vereiste van geïnformeerde toestemming en met het beginsel van doelbinding:
- doelbinding betekent dat gegevens altijd moeten worden verzameld en verwerkt met een specifiek, uitdrukkelijk en legitiem doel voor ogen
- geïnformeerde toestemming betekent dat de betrokkene precies moet weten waarmee hij instemt, met inbegrip van het doel van de verwerking.
Geïnformeerde
Toestemming is geïnformeerd wanneer de betrokkene bepaalde informatie krijgt, waaronder de identiteit van de voor de verwerking verantwoordelijke, het doel van de verwerking, de soorten verwerkte gegevens, het recht om de toestemming in te trekken, en of de gegevens aan derden zullen worden verstrekt5.
Ook artikel 13 speelt hier een rol. Het artikel is een waslijst van informatie die door de voor de verwerking verantwoordelijke moet worden verstrekt, ongeacht de rechtsgrondslag waarop hij zich beroept. Artikel 13 is de reden dat privacy policies lang en saai zijn.
Ondubbelzinnige
Toestemming is ondubbelzinnig wanneer zij wordt gegeven door middel van een duidelijke bevestigende handeling. Met andere woorden, impliciete toestemming bestaat niet onder de GDPR. Daarom kunnen opt-out systemen of vooraf aangevinkte vakjes6 nooit worden gebruikt om geldige toestemming te verzamelen.
De GDPR schrijft niet voor hoe toestemming moet worden verzameld, zolang de verzamelde toestemming maar ondubbelzinnig is. De betrokkene kan een formulier ondertekenen, een hokje aanvinken of mondeling toestemming geven. Maar als vuistregel moet de voor de verwerking verantwoordelijke toestemming verzamelen op een manier die kan worden gedocumenteerd, omdat het leveren van bewijs van toestemming zijn verantwoordelijkheid is7.
Het begrip ondubbelzinnige toestemming overlapt met dat van uitdrukkelijke toestemming. Expliciete toestemming kan worden beschouwd als een "versterkte" vorm van toestemming en functioneert als een vrijstelling van specifieke regels voor de verwerking van gevoelige gegevens, geautomatiseerde besluitvorming en gegevensoverdrachten. Alle toestemming moet dus ondubbelzinnig zijn, maar of deze ook expliciet is, is alleen van belang in specifieke scenario's.
Op zijn zachtst gezegd is het begrip uitdrukkelijke toestemming niet glashelder. Impliciete toestemming is nooit geldig, dus het is moeilijk te zeggen wat expliciet precies betekent en hoe expliciete toestemming verschilt van ondubbelzinnige toestemming. Maar als vuistregel kun je expliciete toestemming waarschijnlijk beschouwen als zeer ondubbelzinnige toestemming.
Wanneer is toestemming problematisch? Enkele voorbeelden
Gebundelde toestemming
"Gebundelde toestemming" is een helaas veel voorkomende situatie waarin een klant gedwongen wordt om toestemming te geven voor de verwerking van zijn gegevens om een contract te sluiten, ook al vereist het contract de verwerking niet echt. Met andere woorden, de gegevensverwerking wordt "gebundeld" met het contract, meestal als een vorm van betaling.
Voor alle duidelijkheid: je kunt toestemming vragen voor de verwerking van gegevens als onderdeel van een contract8, ongeacht of de verwerking essentieel is voor het contract. Het probleem ontstaat wanneer je een klant chanteert door van deze toestemming een deal-breaker te maken.
Artikel 7 zegt dat gebundelde toestemming problematisch is wat betreft toestemming. Helaas verbiedt het artikel de praktijk van gebundelde toestemming niet volledig, maar geeft het een soort waarschuwing of "gele kaart". Door de speelruimte die het artikel laat, kunnen bedrijven een aantal grijze gebieden benutten. Als gevolg daarvan gebruiken sommige internetdiensten nog steeds gebundelde toestemming om gegevens als betaling te verkrijgen, vooral wanneer zij een monopoliepositie innemen en weinig of geen alternatieven hebben. Anderzijds kunnen de gegevensbeschermingsautoriteiten en de rechtbanken artikel 7 strikt handhaven - en we hopen dat ze dat ook doen.
Cookiemuren
"Cookiemuren" zijn pop-ups die door websites (meestal nieuwszenders) worden gebruikt om te voorkomen dat de gebruiker toegang krijgt tot bepaalde inhoud, tenzij hij akkoord gaat met het gebruik van cookies.
Bezoekers krijgen vaak de optie om de verwerking te weigeren in ruil voor een betaald abonnement, wat leidt tot drie alternatieven: betalen met geld, betalen met gegevens, of geen toegang krijgen tot de inhoud.
Cookiemuren zijn vergelijkbaar met gebundelde toestemming in die zin dat zij een voor de verwerking verantwoordelijke in staat stellen gegevens te verzamelen als betaling voor inhoud. Deze praktijk is begrijpelijk vanuit economisch oogpunt: veel gebruikers zijn niet bereid te betalen maar wel cookies toe te staan, en uitgevers hebben reclame-inkomsten nodig om inhoud aan te bieden. Gegevens zijn echter geen handelswaar onder de GDPR, en er kan worden gesteld dat de toestemming die via cookiemuren wordt verzameld, niet vrijwillig wordt gegeven.
Bovendien kan de uitgever ook inkomsten genereren uit niet-gepersonaliseerde advertenties op basis van de inhoud van het nieuws - waarvoor helemaal geen persoonsgegevens hoeven te worden verwerkt.
Misleidend ontwerp
"Misleidend design" of "dark patterns" is de praktijk van het ontwerpen van onduidelijke of misleidende UI om een gebruiker aan te zetten tot een gewenste actie, zoals het kopen van een product, het downloaden van software, het inschrijven op een dienst, of het instemmen met de verwerking van persoonsgegevens.
Misleidend design is vooral een ernstig probleem bij cookiebanners. Cookiebanners sporen gebruikers vaak aan om cookies op hun browser of apparaat te aanvaarden. Sommige maken de optie "aanvaarden" gemakkelijk toegankelijk, terwijl de optie "weigeren" minder zichtbaar is op het scherm - bijvoorbeeld door een kleiner lettertype te gebruiken of een kleur die niet afsteekt tegen de achtergrond. Andere banners stellen de gebruiker voor verwarrende keuzes zoals "aanvaarden/voorkeuren beheren" of "aanvaarden/meer weten". De gebruiker kan de verwerking alleen weigeren door op de tweede optie te klikken en de optie om alle niet-essentiële cookies te verwerken handmatig uit te schakelen.
De gemiddelde internetbezoeker krijgt tijdens het surfen talloze van dergelijke banners te zien. Op een gegeven moment geven veel gebruikers het gewoon op om vermoeidheid aan te klikken en alle cookies te accepteren. Men kan stellen dat de door misleidende cookiebanners verzamelde toestemming niet vrijwillig wordt gegeven. En naast toestemming kan ook worden gesteld dat de verwerking niet eerlijk of transparant is9.
Vorig jaar heeft de European Data Protection Board een cookie banner task force opgericht, als reactie op talrijke klachten tegen misleidende cookie banners door NGO noyb. De laatste keer dat een dergelijke task force werd opgericht, werd Google Analytics uiteindelijk verboden in verschillende EU-lidstaten (we schreven er hier over), dus er is hoop op een hardhandig optreden tegen misleidende banners in de toekomst.
Conclusie
De vereisten voor toestemming zijn bedoeld om ervoor te zorgen dat de gebruiker controle heeft over zijn gegevens. Helaas is dat vaak niet het geval. Veel bedrijven willen zo veel mogelijk gegevens verzamelen en negeren vaak de regels inzake gegevensbescherming of vinden slimme manieren om ze te omzeilen. Dag na dag verandert deze oppottende, gegevensverslindende mentaliteit het internet in een bewakingsmachine.
Maar zo hoeft het niet te zijn. Wij van Simple Analytics geloven in een gebruiksvriendelijk World Wide Web dat de privacy respecteert. Daarom streven we ernaar onze klanten waardevolle analytische inzichten te bieden zonder persoonlijke gegevens van de eindgebruiker te verzamelen. Dit verlicht de compliance last van de klant, stroomlijnt data governance en helpt het internet een betere plek te maken. Als dit u aanspreekt, probeer ons dan gerust uit.
#1 Art. 6 GDPR [^2]: Art. 4 (11) GDPR. [^3]: EDPB Richtsnoeren 05/2020 over toestemming onder Verordening 2016/679, par. 13. [^4]: Uitzonderingen zijn zeer beperkt. Zie EDPB Richtsnoeren 05/2020 over toestemming onder Verordening 2016/679, par. 22. [^5]: WP29 Guidelines on consent under Regulation 2016/679, par. 3.3.1. [^6]: Zie HvJEU - C-673/17 - Planet49. [^7]: Art. 5(2) en 24 GDPR. [^8]: Voor alle duidelijkheid: in dit scenario is toestemming de rechtsgrondslag voor de verwerking, niet het contract. Toestemming voor het contract is niet hetzelfde als toestemming voor de verwerking van de gegevens. Merk ook op dat in dit scenario specifieke formele regels van toepassing zijn: zie art. 7, LID 2, GDPR. [^9]: Art. 5(1)(a) GDPR.