De nieuwe privacywetgeving: toestemming is niet zomaar gegeven!

Op 25 mei 2018 gaat de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) in. Vanaf die datum moeten bedrijven voldoen aan verschillende privacyvoorwaarden. Eén van die voorwaarden is dat betrokkenen toestemming moeten geven voor het gebruiken van hun persoonsgegevens. Wat is het gevolg als dit niet goed (genoeg) gebeurt?
De nieuwe privacywetgeving toestemming is niet zomaar gegeven!
Duidelijk toestemming geven
Onder de AVG, maar ook onder de huidige Wet bescherming persoonsgegevens (Wbp) zijn voorwaarden verbonden aan het verwerken van persoonsgegevens.  Persoonsgegevens mogen bijvoorbeeld gebruikt worden als dit noodzakelijk is op grond van een wettelijke verplichting, of voor de uitvoering van de overeenkomst met een betrokkene (degene op wie een persoonsgegeven betrekking heeft).

Het verwerken van persoonsgegevens is ook toegestaan als de betrokkene toestemming geeft, maar dan wel alleen voor het doel waarvoor de betrokkene toestemming geeft. De AVG bepaalt dat toestemming moet worden gegeven door een ‘duidelijk actieve handeling’. Uit de handeling moet blijken dat de betrokkene ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ met de verwerking van zijn persoonsgegevens instemt.

Om dit voor elkaar te krijgen moeten alle verwerkers van persoonsgegevens verplicht een privacyverklaring hebben, waarin betrokkenen op een informele en transparante wijze wordt uitgelegd wat er met hun persoonsgegevens gebeurt. Daarnaast moeten betrokkenen actief en duidelijk worden ingelicht over de doeleinden waarvoor de toestemming wordt gevraagd. Zij moeten hierbij een ‘accepteer’ of ‘akkoord’-knop al dan niet kunnen indrukken. Een ‘opt-out’ – automatisch accepteren, met daarna de mogelijkheid van niet-accepteren – is dus niet toegestaan. Dit blijkt wel uit het volgende.

Wat deed Microsoft?
De Autoriteit Persoonsgegevens tikte Microsoft onlangs op de vingers. Zij oordeelde dat Microsoft in strijd met de Wbp handelde. Dit deed Microsoft via Windows 10 Home en Pro. Microsoft vertelde de gebruikers van deze programma’s namelijk niet dat zij bij de standaardinstellingen, via de browser Edge, voortdurend gegevens verzamelde over het gebruik van apps en het surfgedrag.

Microsoft verzamelt constant  technische prestatie- en gebruiksgegevens (telemetrie).  Microsoft biedt twee niveaus voor instellingen aan: standaard en volledig. Microsoft verwerkt  bij de standaard instellingen beperkte gegevens over het gebruik van het apparaat. Bij volledige telemetrie verzamelt zij daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge.

De Autoriteit Persoonsgegevens constateerde dat Microsoft zowel bij de standaard als de volledige instellingen niet duidelijk maakte aan de gebruikers welke persoonsgegevens Microsoft verzamelde, en waarvoor. Dit, terwijl voor het aanbieden van bijvoorbeeld gepersonaliseerde advertenties, ondubbelzinnige toestemming is vereist van betrokkenen. Kortom: de werkwijze van Microsoft bij het verwerken en verzamelen van persoonsgegevens was niet duidelijk.

Het spreekt voor zich dat betrokkenen niet  ‘ondubbelzinnig’ toestemming geven, als zij niet juist en volledig zijn geïnformeerd over de doelen waarvoor Microsoft de persoonsgegevens verwerkt. De Autoriteit Persoonsgegevens oordeelde in dit geval dan ook dat geen sprake was van een wettelijke grondslag voor de verwerking van persoonsgegevens.

De optie voor de volledige instellingen en het aanbieden van gepersonaliseerde aanbiedingen stonden daarnaast standaard ingeschakeld bij Microsoft, en betrokkenen werden gevraagd deze te accepteren. Als betrokkenen deze instellingen bij de installatie niet actief wijzigen, wil dit niet zeggen dat zij dús toestemming geven voor het gebruik van hun gegevens, zo oordeelde de Autoriteit Persoonsgegevens terecht. Microsoft past dus (hopelijk) in het vervolg wel op!

Hoe heurt het eigenlijk?
Onder de AVG is dit niet anders. Een bij voorbaat aangekruist vakje waarmee betrokkenen bepaalde instellingen accepteren is niet toegestaan, ongeacht of daarna nog wordt gevraagd de instellingen te accepteren. Hieruit blijkt immers geen duidelijk actieve handeling van betrokkenen. Samenvattend is voor de verwerking van persoonsgegevens de werkwijze ‘opt-out’ dus niet toegestaan .  Een bedrijf moet betrokkenen actief om toestemming vragen, en duidelijk informeren over de reden/het doel waarvoor om toestemming wordt verzocht.

Onze andere blog over wat jij voor 25 mei moet weten over de nieuwe privacywet, vind je hier.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail salome@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Lennert Salome

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Bruidspaar schrikt tijdens huwelijksdiner van schenken 0.0-bier

Bruidspaar schrikt tijdens huwelijksdiner van schenken 0.0-bier

Door Babette van de Venne | april 17, 2019

De uitbater van restaurant de IJ-kantine daagde een bruidspaar voor de rechter, omdat zij hun huwelijksdiner niet betaalden. Het restaurant verzorgde het hele huwelijksdiner voor het bruidspaar en haar tweehonderd gasten. Toch weigerde het bruidspaar de eindfactuur te betalen, omdat het restaurant haar afspraken uit de overeenkomst niet zou zijn nagekomen. Het paar vorderde daarom…

‘Er blijft weinig van de eerste etage van de woning over’ voldoende waarschuwing

‘Er blijft weinig over van de eerste etage’: voldoende waarschuwing?

Door Babette van de Venne | maart 4, 2019

Bij het uitvoeren van aannemingswerkzaamheden kan schade ontstaan. De opdrachtgever stelt zich in zo’n geval vaak op het standpunt dat er sprake is van wanprestatie, en houdt de aannemer aansprakelijk voor de schade. Aansprakelijk zijn voor schade vindt niemand prettig en zeker niet als de schade groot is. Daarom proberen aannemers hun aansprakelijkheid vaak contractueel…

De Wet bescherming bedrijfsgeheimen een waardevolle toevoeging

De Wet bescherming bedrijfsgeheimen: een waardevolle toevoeging?

Door Babette van de Venne | januari 30, 2019

Anno 2019 is het geheimhouden van bedrijfsinformatie een stuk ingewikkelder en complexer dan voorheen. Werknemers stappen vaker over naar een andere werkgever of ze beginnen voor zichzelf. Het komt dan ook met enige regelmaat voor dat een (oud-)werknemer vertrouwelijke informatie kopieert en lekt aan die nieuwe werkgever of aan de concurrent. Daarnaast speelt de digitalisering…

De beroemde rode knop uit Miljoenenjacht deal or no deal

De beroemde rode knop uit Miljoenenjacht: deal or no deal?

Door Meike Dobbelaar | april 3, 2019

Het is een bekend televisie-incident: de finalist uit Postcode Loterij Miljoenenjacht die in 2013 naar eigen zeggen ‘per ongeluk’ op de befaamde rode knop drukt. Met de druk op de knop sloot de finalist een deal voor 125.000 euro. Alhoewel de finalist direct opmerkt dat hij een vergissing maakt, laat de notaris niet toe het…