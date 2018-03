Waar zitten de valkuilen voor het verkrijgen van toestemming voor het verwerken van persoonsgegevens? Hoe bepaalt u wanneer en welke vorm van toestemming u nodig heeft? Daar kijken we in dit blog naar.

De grondslagen

Er is sprake van rechtmatige verwerking van persoonsgegevens als daarvoor actief toestemming is verleend door een persoon. Slimmeriken die werkten met vooraf ingevulde vinkjes of het aanvaarden van de voorwaarden door gebruik zullen hun werkwijze dus moeten aanpassen.

Hoe komt u erachter of de gegevensverwerking in (of via) uw bedrijf rechtmatig is? Dat kunt u toetsen aan de uitgangspunten die daaraan ten grondslag liggen.

Op basis van de zes onderstaande grondslagen mag je persoonsgegevens verwerken:

De betrokkene heeft toestemming gegeven Het is noodzakelijk voor de uitvoering van een overeenkomst Het is noodzakelijk om te voldoen aan een wettelijke verplichting Het is noodzakelijk om de vitale belangen van een natuurlijke persoon te beschermen Het is noodzakelijk voor het vervullen van een taak in het algemeen belang of in het kader van het openbaar gezag Het is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verantwoordelijke

De letterlijke tekst vindt u hier.

Een mooi lijstje maar wat kunt u ermee? In gewonemensentaal betekent dit dat u aan de hand van die zes uitgangspunten kunt checken of u de persoonsgegevens op de juiste manier verwerkt. Laten we eens kijken naar het onderstaande voorbeeld.

Case: De webshop

Als ondernemer heeft u een webshop voor verkoop van goederen aan particulieren. Bij het bestellen vult een particulier zijn NAW-gegevens in en zijn e-mailadres. Daarnaast worden voor het betalen en registreren van de transactie de banknaam en het IBAN-nummer vastgelegd, zodat de iDeal-betaling in één klik kan worden gestart. Daarbij komt nagenoeg altijd de vraag of de particulier de nieuwsbrief wil ontvangen, zodat nieuwe aanbiedingen per e-mail mogen worden toegestuurd. Om een bestelling af te ronden moet een particulier akkoord gaan met de algemene voorwaarden. Daarin staat dat de gegevens in overeenstemming met de AVG worden verwerkt en dat de browser fingerprint data uit de webshop gebruikt kan worden om specifieke aanbiedingen te doen in de webshop.

Uit dit voorbeeld kunnen we de volgende verwerkingsdoelen afleiden:

de NAW-, bank en e-mailgegevens worden gebruikt om:

– Informatie over bestellingen (zoals bevestiging en verzendindicatie) aan de klant door te geven

– De facturatie en de bijbehorende boekhouding te kunnen uitvoeren

– Verzending van de goederen te kunnen uitvoeren

Dit valt onder grondslag nummer 2, het kunnen uitvoeren van een overeenkomst.

Deelname aan de mailinglijst:

– Het kunnen toesturen van advertenties en aanbiedingen, dus direct-marketing

Dit valt onder grondslag nummer 1. Het vinkje dat de gebruiker moet aanvinken om de nieuwsbrief te ontvangen verraadde dit al. Want ondanks de verleende toestemming voor de verwerking van zijn gegevens voor het kunnen doen van een bestelling, moet de klant specifiek instemmen met het ontvangen van een nieuwsbrief. Ander doel, andere toepassing.

Toestemming intrekken

Bij het geven van toestemming is er nog een interessant aspect: net zo makkelijk als die wordt gegeven, moet de toestemming ook weer zijn in te trekken. In het geval van een nieuwsbrief gaat dit meestal via een unsubscribe-/uitschrijven-link, ergens onderaan de nieuwsbrief. Maar in andere gevallen kan dat best lastiger zijn; bij veel webshops kun je een account aanmaken waarin je dit zou moeten kunnen regelen.

In vrijheid toestemming verlenen

In het voorbeeld noem ik heel specifiek algemene voorwaarden waarin terloops wordt benoemd dat het profiel van gebruiker van de webshop wordt opgeslagen en gebruikt. Doordat dit in de algemene voorwaarden is vastgelegd, heeft de klant geen vrije keus om zich te onttrekken aan de profilering om toch iets te kunnen bestellen. Met andere woorden: wil je iets bestellen dan moet je er mee instemmen dat je gegevens gebruikt kunnen worden om je (andere) aanbiedingen te kunnen doen.

Er is echter in de AVG uitdrukkelijk benoemd dat er in vrijheid gekozen moet kunnen worden, zonder onredelijk impact op de dienstverlening. Dat is hier niet zo. De verplichte instemming met de profilering moet uit de algemene voorwaarden worden gehaald en op een andere manier aan de gebruikers van deze webshop worden aangeboden.

Sowieso moet de toestemming voor het verwerken van persoonsgegevens voor afzonderlijke doelen gescheiden plaatsvinden van het akkoord gaan met andere bepalingen en voorwaarden.

Zie ook: https://gdpr-info.eu/recitals/no-43/

Het profileren van de gebruiker is bedoeld om te kunnen bepalen welke advertenties en aanbiedingen aan die klant kunnen worden gedaan. Dat staat los van de bestelling die hij wil doen in de webshop. En dus is er een aparte toestemming voor nodig (grondslag 1).

Vastleggen van toestemming

Als verantwoordelijke voor gegevensverwerking moet u kunnen aantonen dat een gebruiker van uw webshop toestemming heeft verleend voor de diverse verwerkingsdoelen. Ook als die toestemming is ingetrokken moet u daarvan een registratie bijhouden, zodat u kunt aantonen dat eerdere verwerking wel met toestemming is uitgevoerd.

Kleine ondernemingen

Bij het opstellen van de wet- en regelgeving heeft de wetgever rekening gehouden met de last die kleine ondernemingen voor hun kiezen krijgen naar aanleiding van al die extra administratieve verplichtingen. Voor bedrijven met minder dan 250 medewerkers geldt in principe dat deze geen uitgebreide boekhouding van gegevensverwerking hoeven bij te houden.

Tenzij die kleine onderneming:

– Veelvuldig geautomatiseerde verwerking van persoonsgegevens uitvoert (waaronder dus ook de webshop uit het voorbeeld)

– Nieuwe technologie inzet om persoonsgegevens te verwerken

De uitzondering geldt voor detailed record keeping. Dus voor het bijhouden van een gedetailleerd verwerkingsregister. Aan alle andere bepalingen moeten kleine ondernemingen dus wel voldoen.

Duidelijk?

Duizelt het u al?? Daar kan ik me iets bij voorstellen, maar we moeten door. Leuker wordt het niet, inzichtelijker wel! Het is even doorbijten maar het is belangrijk dat u begrijpt welke consequenties de AVG wet- en regelgeving op uw bedrijfsprocessen heeft.

Maar we helpen u graag op weg met de onderstaande flyer, waarin nog eens overzichtelijk is weergegeven hoe het zit. Hoe het mis kan gaan, met bijvoorbeeld een datalek, bespreek ik in mijn volgende blog.

Carlo Kuip is enterprise architect bij SnelStart.