AVG: Toestemming

Voor een rechtmatige verwerking van persoonsgegevens moet volgens de Europese Algemene verordening gegevensbescherming (AVG), of General Data Protection Regulation (GDPR), sprake zijn van een wettelijke basis die deze verwerking rechtvaardigt.

Toestemming van de consument is daar een goed voorbeeld van, maar voor de e-commercesector zijn meer relevante wettelijke grondslagen denkbaar. Zo kan het verwerken van persoonsgegevens noodzakelijk zijn voor het uitvoeren van de overeenkomst, bijvoorbeeld bij het opslaan van een verzendadres. Dit is noodzakelijk als er een pakketje naar dat bepaalde adres verstuurd moet worden. Een ander voorbeeld is dat de gegevens noodzakelijk zijn om te voldoen aan een wettelijke verplichting, zoals een verplichte leeftijdscontrole. Tot slot voldoet een gerechtvaardigd belang van de ondernemer om een bepaald persoonsgegeven te verwerken ook om dit rechtmatig te kunnen doen. In deze gevallen hoef je als webwinkelier de toestemming van de klant dus niet te hebben om zijn gegevens voor die doeleinden te gebruiken.

De werkgroep Artikel 29 van de gezamenlijke Europese privacytoezichthouders (WG-29) heeft in een richtsnoer uitleg gegeven over wat als toestemming onder de AVG komt te gelden, en waar (het geven van) geldige toestemming aan dient te voldoen. Dit wijkt niet veel af van de toestemmingscriteria onder de Wet bescherming persoonsgegevens (Wbp), maar er zijn wel degelijk relevante verschillen. Hieronder leggen we uit waar je als webwinkel allemaal op moet letten wanneer je je klanten om toestemming vraagt voor het verwerken van hun persoonsgegevens. 

Wat moeten webwinkeliers doen?

De AVG omschrijft ‘toestemming’ van de betrokkene als elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de betrokkene via een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens aanvaardt.

Vrije wilsuiting

Vrije wilsuiting wil volgens de AVG en de WG-29-richtsnoeren zeggen dat er ook daadwerkelijk een keuze moet zijn; als iemand geen echte keuze heeft, zich gedwongen voelt om toestemming te geven of er negatieve gevolgen aan het geven van (of het intrekken van) toestemming zitten, geldt de toestemming niet als vrij. Als een fotobewerkingsapp bijvoorbeeld toestemming vraagt voor het gebruik van de GPS-locatie voor advertentiedoeleinden, en je kunt zonder dit te activeren geen toegang tot de dienst krijgen, dan kan hierbij geen vrije toestemming worden verkregen. De locatiegegevens (en de advertenties) zijn niet namelijk noodzakelijk voor het bewerken van foto’s.

Bij ongelijke rechtsverhoudingen (bijvoorbeeld bij overeenkomsten tussen werkgever en werknemer) vindt de WG-29 het problematisch dat werkgevers persoonsgegevens van werknemers verwerken. Het is namelijk niet aannemelijk dat werknemers vrij kunnen instemmen met het gebruik hiervan, gezien de afhankelijkheid van inkomen (onevenwichtige machtsverhouding). Om deze reden kan toestemming hier ook niet zo snel als vrij worden aangemerkt.

Bij de beoordeling of toestemming vrijwillig is gegeven, moet ook worden gekeken naar de andere vereisten die de AVG geeft voor toestemming. Zo wordt het niet als vrijelijk gegeven toestemming gezien als de toestemming in algemene voorwaarden wordt gebundeld (of verhuld, zoals de WG-29 het noemt). En al helemaal niet als de gegevensverwerking niet noodzakelijk is voor de uitvoering van het contract of de dienst. Toestemming voor het verwerkingen van persoonsgegevens die voortvloeien uit de levering van een contract of een dienst waarvoor deze persoonlijke gegevens niet nodig zijn, kan dus niet vrijelijk worden gegeven. Daarnaast, als je gegevens verwerkt die in feite noodzakelijk moeten zijn voor het uitvoeren van een overeenkomst, dien je dit als wettelijke basis voor de relevante gegevensverwerking te nemen.

Als je als webwinkelier gegevens verwerkt voor meerdere doeleinden, moeten klanten kunnen kiezen welk doel zij accepteren, in plaats van toestemming te geven voor alle doeleinden. Ook moet je kunnen aantonen, dat als de consument zijn toestemming intrekt, hier geen kosten of nadelige gevolgen aan verbonden zijn.

Specifieke wilsuiting

Toestemming mag alleen worden verkregen voor een aangegeven, bepaald en legitiem doel. Dit moet je als webwinkel dus van tevoren bepalen. Deze doelbinding dient als waarborg tegen een ongewenste schending van de privacy van de klant in de toekomst. Op deze manier kan het verwerkingsdoel waarvoor de gegevens oorspronkelijk waren bedoeld niet ineens worden verruimd zonder dat de klant hiervan op de hoogte is. Als je de gegevens voor een ander doel wilt gebruiken, moet je hiervoor opnieuw toestemming vragen. Wanneer je op je website toestemming vraagt aan je klanten, dien je dus ook voor alle doelen een opt-in in te bouwen. Er mag geen algemeen hokje zijn dat aan kan worden gevinkt, want de consument dient voor elk doel apart, en dus specifiek, toestemming te geven

Geïnformeerde wilsuiting

De klant moet, voordat hij toestemming kan geven voor de verwerking van zijn persoonsgegevens, op de hoogte worden gesteld van een aantal elementen die cruciaal zijn voor het maken van een geïnformeerde keuze. De volgende informatie moet jij als webwinkelier in ieder geval aan de klant overleggen:

• De naam van de partij die de gegevens verwerkt (als je dit zelf bent, de naam van de webwinkel).
• De doeleinden van de verwerking.
• Welke (persoons)gegevens je verwerkt.
• Het feit dat de klant op elk moment zijn toestemming kan intrekken.
• Informatie over of er gebruik wordt gemaakt van geautomatiseerde besluitvorming (waaronder profilering).
• Enige derde partijen die voor je verwerken en of deze zich in een ander land bevinden.

De AVG schrijft niet voor hoe de klant dient te worden geïnformeerd. Dit kan dus bijvoorbeeld schriftelijk of mondeling plaatsvinden. Wel dient de informatie hierover onderscheidend te zijn van andere informatie, en duidelijk en in heldere taal te worden weergegeven. De AVG spreekt hierbij van duidelijk voor een gemiddeld persoon.

Ondubbelzinnige wilsuiting

Uit de AVG volgt dat voor geldige toestemming een verklaring of duidelijke bevestigende handeling van de klant is vereist, waaruit moet blijken dat hij instemt met de gegevensverwerking. Deze toestemming moet altijd worden gegeven via een actieve handeling of verklaring, zodat het duidelijk is dat de klant heeft ingestemd met de specifieke verwerking. Dit kan op verschillende manieren, bijvoorbeeld via het aanvinken van een hokje (een vooraf ingevuld hokje geldt niet als grondslag voor geldige toestemming), swipen, een bepaalde beweging maken voor een (slimme) camera of een smartphone met de klok mee bewegen. Zolang het duidelijk is dat de beweging een instemming met een specifiek verzoek betreft, en er duidelijke informatie wordt verstrekt, kan dit als een geldige toestemming gelden. Het naar beneden scrollen van algemene voorwaarden geldt overigens niet als toestemming, omdat de klant wat van de tekst kan missen als hij naar beneden scrolt.

Het verkrijgen van uitdrukkelijke toestemming

Overal waar een hoog niveau van individuele controle over persoonsgegevens passend wordt geacht, heb je uitdrukkelijke toestemming nodig. Deze vorm van toestemming is aan een hogere standaard gebonden dan reguliere toestemming en hierbij wordt uitdrukkelijk toegezien op de manier waarop de klant toestemming geeft. Zo moet hij een uitdrukkelijke toestemmingsverklaring afleggen. Dit kan bijvoorbeeld door de klant te vragen om een e-mail te sturen waarin hij aangeeft akkoord te gaan met de betreffende gegevensverwerking. Het door de klant schriftelijk laten bevestigen van zijn toestemming is natuurlijk een van de meest voor de hand liggende manieren om uitdrukkelijke toestemming te verkrijgen. Dit kan echter op nog veel meer manieren. Je kunt de klant bijvoorbeeld ook een elektronisch formulier laten invullen, een gescande afbeelding van een document dat zijn handtekening draagt laten uploaden of een document laten ondertekenen via een elektronische handtekening.

Aantonen van geldige toestemming

Onder de AVG moet je als webwinkel kunnen bewijzen dat je klanten toestemming hebben gegeven voor de verwerking van hun persoonsgegevens. Je mag zelf bepalen op welke manier je aan deze verplichting voldoet, zolang je het maar kan verantwoorden. De verplichting geldt zolang de gegevensverwerking duurt (zolang de data zijn opgeslagen). Je kunt bijvoorbeeld een register bijhouden van alle verklaringen die je van je klanten hebt ontvangen (met daarin welke informatie je hebt verstrekt en op welke manier dit heeft plaatsgevonden). Een andere verplichting uit de AVG is namelijk dat je moet kunnen aantonen dat je voldeed aan alle criteria voor geldige toestemming. Dit kan bijvoorbeeld door informatie te bewaren over de (browser)sessie waarin de toestemming is gegeven, samen met de documentatie over de werkstromen van de website ten tijde van het vastleggen van de toestemming. Hierbij volstaat overigens niet dat alleen naar de (technisch) juiste configuratie van je website wordt verwezen. Er staan geen termijnen in de AVG voor hoelang de gegeven toestemming geldig is voordat je het opnieuw aan je klanten moet vragen. De WG-29 geeft in de richtsnoeren aan dat dit ‘op regelmatige basis’ dient te gebeuren en in ieder geval als er veranderingen zijn met betrekking tot de klant.

Het intrekken van toestemming

De AVG schrijft voor dat klanten hun toestemming net zo gemakkelijk moeten kunnen intrekken als deze door hen is gegeven. Daarnaast dient dit op elk moment te kunnen gebeuren. Dit betekent overigens niet dat het geven en intrekken van toestemming altijd via dezelfde handeling moet plaatsvinden. Wanneer de toestemming echter via elektronische weg wordt verkregen, bijvoorbeeld via een muisklik, veeg of toetsaanslag, dan moet de klant zijn toestemming in de praktijk ook net zo makkelijk kunnen intrekken. Als je toestemming hebt verkregen via een specifieke handeling op bijvoorbeeld een mobiel apparaat, een app, een bepaalde inlog of via de e-mail, dan zou je dit wel op dezelfde manier moeten kunnen intrekken, dus zonder van apparaat of interface te moeten wisselen. Als algemene regel geldt bij toestemming dat als deze wordt ingetrokken, alle gegevensverwerkingen die hierop waren gebaseerd dienen te worden stopgezet. En als er geen andere wettelijke basis meer is die de verwerking (bijvoorbeeld verdere opslag) van de gegevens rechtvaardigt, dan moet je deze verwijderen of anonimiseren.