Raad van Aad: heb je altijd toestemming van de betrokkene nodig?

Heb je bij het verwerken van persoonsgegevens altijd toestemming van de betrokkene nodig?

Het antwoord is Nee. In artikel 6 van de AVG geeft de wetgever aan dat het verwerken van persoonsgegevens alleen rechtmatig is als ze voldoet aan één van de zes hieronder genoemde grondslagen.

Deze zijn:

  1. De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.
  2. De verwerking is noodzakelijk voor het aangaan of de uitvoering van een overeenkomst waarbij betrokkene partij is (bijv. een koopovereenkomst, een arbeidsovereenkomst of een lidmaatschap van een vereniging).
  3. De verwerking is noodzakelijk voor de nakoming van wettelijke verplichtingen (het nakomen van je verplichtingen onder de Arbowet of de wet poortwachter).
  4. De verwerking is noodzakelijk om de vitale belangen van betrokkene of een andere natuurlijke persoon te beschermen (niemand hoeft dood te gaan van of vanwege de privacywet).
  5. De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak in het kader van het uitvoeren van een wettelijke taak door een overheidsinstantie.
  6. De verwerking is noodzakelijk voor het behartigen van een gerechtvaardigd belang van jouw organisatie of van een ander aan wie je de gegevens verstrekt (denk bijv. aan beveiliging van je bedrijf met camera’s, marketing, intern beheer of een zakelijke overeenkomst met een derde).

Slechts één daarvan is de toestemming van de betrokkene en die staat op nummer 1. De wetgever had deze beter op nummer 6 kunnen zetten. In de vijf andere gevallen heb je namelijk geen toestemming nodig. In de dagelijkse praktijk kom ik regelmatig privacy misstanden tegen waarbij personen voor iedere verwerking toestemming moeten geven. De realiteit is dat je met deze grondslagen bijna nooit toestemming nodig hebt om persoonsgegevens te mogen verwerken.

Uitzondering hierop is als de gegevens verwerkt worden voor “direct marketing”. Bij direct marketing per e-mail of het plaatsen van cookies wanneer je website wordt bezocht, heb je bijna altijd aantoonbaar toestemming van de betrokkene nodig. De puristen onder ons zullen onmiddellijk zeggen: dat staat niet in de AVG! – Dat klopt maar naast de AVG hebben we ook de Telecommunicatiewet en die verplicht dit al jaren.

Een veel gehoord argument van marketeers is dat ze je gegevens gebruiken om een profiel van je te maken met als ultiem doel de klant ten dienste te zijn om direct aan te bieden wat gezocht wordt en zo de zoektocht op het internet te besparen. Zelf noem ik dat beïnvloeding, er zijn namelijk heel veel mensen die daar gevoelig voor zijn.

Daarnaast heb je altijd toestemming van een betrokkene nodig als je andere dingen gaat doen met de gegevens, dan waarvoor toestemming is gegeven. In alle andere gevallen heb je waarschijnlijk genoeg aan één van de andere vijf grondslagen en hoef je dus geen toestemming te vragen. Bij twijfel over grondslag, handel dan in het voordeel van de betrokkene en vraag toestemming.

Tot slot: als je toestemming vraagt, ook al had je het niet nodig en iemand zegt “nee”, dan mag je geen gegevens verwerken, punt. Let dus op wat je doet en vraag geen toestemming als het niet hoeft.