Na een jaar zijn de Algemene verordening gegevensbescherming (AVG) en (online) gegevensbescherming niet meer weg te denken van het internet. Vorig jaar mei sloeg het ene na het andere bedrijf je met een toestemmings-e-mail om de oren: of je even toestemming wilde geven voor de verwerking van persoonsgegevens, met daarbij informatie over het gewijzigde privacy beleid. En of je even kon aangeven of je de nieuwsbrief wilde blijven ontvangen. Door deze vraag om toestemming en de verplichting transparant te zijn zou de consument weer in control komen over het gebruik van zijn persoonsgegevens. Maar is dat ook zo? Of ligt consent fatique op de loer?
De AVG bevat zes gronden om persoonsgegevens te mogen verwerken. Deze gronden zijn niet nieuw; ze stonden al in de Wet bescherming persoonsgegevens (Wbp). Toestemming staat als eerste grond genoemd, maar verdient dit in de praktijk ook de meeste voorkeur? De Autoriteit Persoonsgegevens lijkt hier wel op aan te sturen. Als je alle momenten waarop je toestemming moet geven bij elkaar optelt, dan zou je inderdaad denken dat toestemming de heilige graal is voor de verwerking van persoonsgegevens. Dat is echter niet per se het geval, zo zal later blijken.
In de debatten en ontwerpen van de verordening wordt toestemming vaak gezien als het belangrijkste criterium voor legitieme verwerking. Echter, de definitieve versie van de verordening behandelt toestemming als een van de vele alternatieven voor legitieme verwerking.1
Toestemming moet gegeven worden via een duidelijk actieve handeling, waaruit blijkt dat de toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven. Het datasubject moet de toestemming kunnen weigeren en makkelijk kunnen intrekken. De vereiste dat toestemming specifiek en geïnformeerd dient te zijn, voorkomt dat doeleinden verstopt of weggelaten kunnen worden. Het vragen van toestemming vergt dus een duidelijke informatieverstrekking en een goede boekhouding. Je dient als verantwoordelijke aan te moeten kunnen tonen wie, wanneer en op welke toestemmingsvraag akkoord heeft gegeven. Technisch vereist toestemming dus een goede inrichting van systemen.
In de praktijk valt op dat het geldende beleid bij verwerkingsverantwoordelijken lijkt te zijn: we vragen het datasubject om toestemming, dan zitten we altijd goed. Maar is er wel altijd toestemming nodig? Wat als je eigenlijk geen toestemming nodig had, bijvoorbeeld omdat er sprake is van de uitvoering van een overeenkomst, en iemand trekt zijn toestemming in? Is de overeenkomst dan ontbonden? Mag je toestemming dan alsnog weigeren? Het brengt de verantwoordelijke in een moeilijke positie en het datasubject voelt zich mogelijk op het verkeerde been gezet wanneer zijn intrekking ineens niet meer gehonoreerd wordt. De Engelse toezichthouder Information Commissioner's Office (ICO) noemt het vragen van consent wanneer er een andere verwerkingsgrond aanwezig is zelfs ‘misleading and inherently unfair’. Het zou het individu, naast een valse keuze, enkel ‘the illusion of control’ geven. De toezichthouder geeft dan ook aan dat toestemming zeker niet altijd de meest passende grond voor gegevensverwerking is.2
Toestemming moet specifiek en transparant zijn. Een organisatie moet ervoor zorgen dat het datasubject goed geïnformeerd een beslissing kan maken over het gebruik van haar data. Dit zou moeten voorkomen dat consumenten worden overbelast met te veel informatie wanneer zij een website bezoeken, over het internet surfen, een applicatie downloaden of goederen of diensten kopen. De vele toestemmingsvragen kunnen echter ook resulteren in een zekere mate van consent fatique: instemmingsmoeheid.3
Dit artikel is ook te vinden in het dossier AVG
