18 oktober 2017

Op 24 mei 2016 is de nieuwe Algemene Verordening Gegevensbescherming, beter bekend als General Data Protection Regulation (GDPR), in werking getreden. Organisaties krijgen echter twee jaar de tijd om zich op deze nieuwe privacywetgeving voor te bereiden. Uiterlijk op 25 mei 2018 moeten alle organisaties die persoonlijke gegevens verzamelen, in overeenstemming zijn met deze nieuwe set regels. Hoewel de meeste bepalingen reeds in de huidige Belgische Privacywet terug te vinden waren, worden een aantal vereisten om rechtmatig persoonsgegevens te kunnen verwerken aangescherpt. Een belangrijke is de wijze waarop rechtmatig toestemming kan verkregen worden van een betrokkene.

Net zoals onder de huidige Privacywet, is toestemming ook in de GDPR één van de zes gronden op basis waarvan persoonsgegevens rechtmatig verwerkt kunnen worden. In geen geval echter de meest geliefde basis voor verwerking, gezien de moeilijkheden die ermee gepaard gaan om de toestemming te laten voldoen aan de hoge standaarden die de GDPR oplegt.

Wijzigingen aan de toestemming

In de huidige Belgische Privacywet staat reeds dat toestemming voor de verwerking van persoonsgegevens steeds vrij, specifiek, geïnformeerd en ondubbelzinnig moet gegeven worden. Dit verandert niet, al worden hier wel een aantal extra vereisten aan toegevoegd. Toestemming moet volgens de GDPR ook blijken uit een verklaring of uit een duidelijke actieve handeling. Bij kinderen zal een ouder of voogd toestemming moeten gegeven, maar daar wordt hier verder niet op ingegaan.

Dit kadert allemaal in het hele doel van de GDPR, namelijk om betrokkenen weer controle en zeggenschap te geven over gegevens die op hen betrekking hebben. Rechtmatige toestemming kan niet meer worden afgeleid uit een vooraf aangevinkt vakje of uit het gegeven dat de betrokkene niet geprotesteerd heeft. Organisaties die onder het toepassingsgebied vallen van de GDPR zullen nu moeten investeren in toestemmingsmechanismen zoals opt-in boxen of een privacy beheerderspaneel aan de hand waarvan betrokkenen een duidelijk overzicht hebben op de wijze waarop hun persoonlijke gegevens verwerkt worden.

Het concept toestemming ontleed

Toestemming moet voldoen aan volgende voorwaarden:

  • Vrij gegeven: Er moet een balans bestaan in de verhouding tussen de betrokkene en de organisatie die zijn gegevens verwerkt. Dit maakt het moeilijk om te berusten op toestemming als verwerkingsgrond voor bijvoorbeeld werkgevers of publieke instellingen. Zij gaan beter op zoek naar een alternatieve basis voor verwerking.
  • Specifiek: Toestemming moet steeds gegeven worden voor een specifieke verwerking. Een blanco volmacht die een carte blanche geeft om persoonsgegevens voor onbepaalde doeleinden te gebruiken is niet toegelaten.
  • Geïnformeerd: Wanneer berust wordt op toestemming als grondslag moet aangetoond kunnen worden dat de betrokkene zich volledig bewust is van het gegeven dat hij zijn toestemming verleent en hoever deze toestemming reikt. Ze moeten ten minste op de hoogte worden gebracht van de identiteit van de verwerkingsverantwoordelijke en de doelstellingen voor de verwerking. Een privacyverklaring, in toegankelijk taal opgesteld, is hiervoor een geschikte tool.
  • Ondubbelzinnig: Hoewel toestemming reeds ondubbelzinnig moest zijn onder de huidige Privacywet, verduidelijkt de GDPR dat ondubbelzinnige toestemming blijkt uit een verklaring of duidelijke actieve handeling. Dit kan onder meer gebeuren aan de hand van het aanvinken van een niet-ingevuld vakje, het kiezen van de juiste browserinstellingen (bij cookies) of via een privacyverklaring die gemakkelijk kan geconsulteerd worden.
  • Het recht om toestemming in te trekken: Zich baseren op toestemming komt met een aantal extra verplichtingen. Een betrokkene heeft altijd het recht om zijn toestemming in te trekken. Hij moet hiervan op de hoogte worden gebracht en het moet zo eenvoudig als het geven van de toestemming kunnen gebeuren.

In de GDPR wordt ten slotte een onderscheid gemaakt tussen expliciete toestemming en ‘gewone’ toestemming. Voor het verwerken van gevoelige data, profilering of bij doorgifte van gegevens over de grenzen heen moet toestemming expliciet gegeven worden.  Het onderscheid is niet echt duidelijk maar uit een aanbeveling van de Artikel 29-werkgroep blijkt dat een expliciete toestemming doorgaans gebeurt via het uitdrukkelijk vragen van goedkeuring, gevolgd door een handgeschreven handtekening als toestemming.

Wat met reeds verzamelde gegevens?

Organisaties kunnen blijven berusten op de verkregen toestemming van betrokkenen voor verwerking, wanneer deze toestemming voldoet aan de nieuwe standaarden in de GDPR. Dit betekent dat wanneer de toestemming verkregen werd aan de hand van een vooraf aangevinkte box, de toestemming opnieuw verkregen zal moeten worden. Een reactiveringscampagne kan hier alvast bij helpen. Een gemakkelijker alternatief kan zijn om te steunen op een alternatieve grond voor verwerking of in sommige gevallen om de verwerking gewoon stop te zetten. Wanneer de verwerking van de gegevens bovendien gebeurt voor andere doeleinden dan waarvoor ze oorspronkelijk werden verzameld, zal de toestemming niet specifiek genoeg zijn en kan het geen basis zijn voor verwerking.

Toestemming: een noodzakelijk kwaad?

De wijze waarop toestemming volgens de GDPR moet gegeven worden is zeer privacyvriendelijk ten aanzien van betrokkenen, maar vooral een kopzorg voor organisaties die gegevens willen verwerken. Een toestemming die niet overeenkomstig de GDPR gegeven werd moet vernieuwd worden, wat een zware administratieve last uitmaakt.

We mogen echter niet uit het oog verliezen dat toestemming maar één van de zes gronden is op basis waarvan we gegevens mogen verwerken en bovendien niet steeds het meest wenselijke middel. In de praktijk zullen veel verwerkingen door commerciële organisaties perfect kunnen gebeuren op basis van een andere grondslag, waaronder het noodzakelijk karakter voor de uitvoering van een overeenkomst, voor de behartiging van een gerechtvaardigd belang of voor het nakomen van een wettelijke plicht.

Toestemming zal met andere woorden vaak niet eens nodig zijn. De enige belangrijke uitzonderingen zijn de gevallen waarin je gegevens wil gebruiken voor marketingdoeleinden of de gevallen waarin de GDPR de verwerking van gegevens verbiedt, behoudens wettelijke uitzondering, tenzij expliciet toestemming wordt verkregen. Het gaat hier voornamelijk om het verwerken van bijzondere persoonsgegevens of strafrechtelijke gegevens. In de praktijk zal het zelf dan echter aangewezen zijn om bij de wettelijke uitzonderingen te blijven.

Geschreven door Anouk Ruppel