De Algemene Verordening Gegevensbescherming (AVG) brengt een heleboel teweeg. Organisaties moeten aan de AVG voldoen, betrokkenen (lees: personen van wie gegevens worden verwerkt) hebben allerlei rechten met betrekking tot hun persoonsgegevens en er wordt gestrooid met boetes en berichten over datalekken.

De consultants van Cuccibu leren én verspreiden in de dagelijkse privacy-praktijk allerlei interessante feiten, maar horen ook veel ‘AVG-fabeltjes’ aan. In deze blogreeks behandelen wij tweewekelijks een interessante of veelgehoorde misvatting over de AVG. Wij besteden ook aandacht aan de ‘feiten achter het fabeltje’.

Tijdens het online-shoppen voor een mooie nieuwe jurk voor het zomerse weer, stuitte ik op een misplaatste check box: ‘door hier te klikken ga je akkoord met onze privacyverklaring, en mogen wij jouw gegevens verwerken’. Je hebt het vast wel eens voorbij zien komen. Vóórdat je verder kunt in een bestelproces moet je akkoord geven voor de privacyverklaring en/of het ‘verwerken van persoonsgegevens’ in het algemeen.

AVG-fabeltje van vandaag: ‘Zonder akkoord op de privacyverklaring, kunnen wij jouw bestelling niet verwerken’.

Hoe zit het dan? 
Verwerken van persoonsgegevens mag alleen wanneer je daar een reden voor hebt, oftewel: een grondslag. Toestemming kán een grondslag zijn en dit was de grondslag waar de webshop uit het voorbeeld (ten onrechte) voor heeft gekozen.

Het vaststellen van een grondslag, wordt vaak als lastig ervaren. Je kunt er niet zomaar een uitkiezen: deze moet volgen uit de wet, daarover moet je informeren en je kunt niet zomaar wisselen van grondslag. De grondslag moet passen bij de situatie. Soms is toestemming een passende grondslag, maar dat geldt niet voor de verwerking van persoonsgegevens in het bestelproces. Als ik die zomerjurk wil bestellen, heeft de webshop mijn persoonsgegevens nodig om de bestelling te verwerken, mij te laten betalen én de jurk naar mij op te kunnen sturen. Zonder die gegevens, kan onze ‘overeenkomst’ niet doorgaan en blijf ik zitten zonder jurk. De toepasselijke grondslag is hier dan ook de ‘noodzakelijkheid voor een (voorbereiding van een) overeenkomst!’

Het is dan niet nodig (en af te raden) om óók nog mijn toestemming te vragen voor verwerken van mijn gegevens, of voor de privacyverklaring. Daarbij is een privacyverklaring een manier om te voldoen aan de informatieplicht: in haar aard is dat een informatief document. Of wilde de webshop stiekem misschien méér met mijn gegevens doen en zagen zij een akkoord voor de privacyverklaring als een impliciete toestemming voor het verwerken van mijn gegevens voor andere zaken? Hierover later meer in een volgende editie van de AVG-fabeltjeskrant.

Toestemming
Het mag duidelijk zijn dat toestemming niet altijd een passende grondslag is. Sterker nog, toestemming is een grondslag waar veel randvoorwaarden bij komen kijken. Zo moet de toestemming in ieder geval:

  • in vrijheid zijn gegeven,
  • aantoonbaar en ondubbelzinnig zijn,
  • op voldoende informatie zijn gebaseerd én
  • even eenvoudig weer in te trekken zijn.

Ik hoor je denken: ‘Waarom wordt er dan toch zo vaak naar toestemming gegrepen?’ Dit heeft waarschijnlijk enerzijds te maken met gemakzucht: ‘met een checkbox zitten we altijd goed’, maar anderzijds is er soms juist sprake van onwetendheid: niet elke organisatie heeft immers een privacyexpert in huis.

Conclusie: ‘Geen oogjes dicht en snaveltjes toe, als het gaat om privacy gaat. Heb je vragen naar aanleiding van dit artikel, of advies nodig over de grondslag voor jouw gegevensverwerking? De consultants van Cuccibu staan graag voor jou(w) organisatie klaar.’

 

Tot de volgende editie!

 


Hulp nodig?

De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via:

info@cuccibu.nl of +31 (0) 85 3030 2984.