De nieuwe privacywetgeving: toestemming is niet zomaar gegeven!

Op 25 mei 2018 gaat de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) in. Vanaf die datum moeten bedrijven voldoen aan verschillende privacyvoorwaarden. Eén van die voorwaarden is dat betrokkenen toestemming moeten geven voor het gebruiken van hun persoonsgegevens. Wat is het gevolg als dit niet goed (genoeg) gebeurt?
De nieuwe privacywetgeving toestemming is niet zomaar gegeven!
Duidelijk toestemming geven
Onder de AVG, maar ook onder de huidige Wet bescherming persoonsgegevens (Wbp) zijn voorwaarden verbonden aan het verwerken van persoonsgegevens.  Persoonsgegevens mogen bijvoorbeeld gebruikt worden als dit noodzakelijk is op grond van een wettelijke verplichting, of voor de uitvoering van de overeenkomst met een betrokkene (degene op wie een persoonsgegeven betrekking heeft).

Het verwerken van persoonsgegevens is ook toegestaan als de betrokkene toestemming geeft, maar dan wel alleen voor het doel waarvoor de betrokkene toestemming geeft. De AVG bepaalt dat toestemming moet worden gegeven door een ‘duidelijk actieve handeling’. Uit de handeling moet blijken dat de betrokkene ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ met de verwerking van zijn persoonsgegevens instemt.

Om dit voor elkaar te krijgen moeten alle verwerkers van persoonsgegevens verplicht een privacyverklaring hebben, waarin betrokkenen op een informele en transparante wijze wordt uitgelegd wat er met hun persoonsgegevens gebeurt. Daarnaast moeten betrokkenen actief en duidelijk worden ingelicht over de doeleinden waarvoor de toestemming wordt gevraagd. Zij moeten hierbij een ‘accepteer’ of ‘akkoord’-knop al dan niet kunnen indrukken. Een ‘opt-out’ – automatisch accepteren, met daarna de mogelijkheid van niet-accepteren – is dus niet toegestaan. Dit blijkt wel uit het volgende.

Wat deed Microsoft?
De Autoriteit Persoonsgegevens tikte Microsoft onlangs op de vingers. Zij oordeelde dat Microsoft in strijd met de Wbp handelde. Dit deed Microsoft via Windows 10 Home en Pro. Microsoft vertelde de gebruikers van deze programma’s namelijk niet dat zij bij de standaardinstellingen, via de browser Edge, voortdurend gegevens verzamelde over het gebruik van apps en het surfgedrag.

Microsoft verzamelt constant  technische prestatie- en gebruiksgegevens (telemetrie).  Microsoft biedt twee niveaus voor instellingen aan: standaard en volledig. Microsoft verwerkt  bij de standaard instellingen beperkte gegevens over het gebruik van het apparaat. Bij volledige telemetrie verzamelt zij daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge.

De Autoriteit Persoonsgegevens constateerde dat Microsoft zowel bij de standaard als de volledige instellingen niet duidelijk maakte aan de gebruikers welke persoonsgegevens Microsoft verzamelde, en waarvoor. Dit, terwijl voor het aanbieden van bijvoorbeeld gepersonaliseerde advertenties, ondubbelzinnige toestemming is vereist van betrokkenen. Kortom: de werkwijze van Microsoft bij het verwerken en verzamelen van persoonsgegevens was niet duidelijk.

Het spreekt voor zich dat betrokkenen niet  ‘ondubbelzinnig’ toestemming geven, als zij niet juist en volledig zijn geïnformeerd over de doelen waarvoor Microsoft de persoonsgegevens verwerkt. De Autoriteit Persoonsgegevens oordeelde in dit geval dan ook dat geen sprake was van een wettelijke grondslag voor de verwerking van persoonsgegevens.

De optie voor de volledige instellingen en het aanbieden van gepersonaliseerde aanbiedingen stonden daarnaast standaard ingeschakeld bij Microsoft, en betrokkenen werden gevraagd deze te accepteren. Als betrokkenen deze instellingen bij de installatie niet actief wijzigen, wil dit niet zeggen dat zij dús toestemming geven voor het gebruik van hun gegevens, zo oordeelde de Autoriteit Persoonsgegevens terecht. Microsoft past dus (hopelijk) in het vervolg wel op!

Hoe heurt het eigenlijk?
Onder de AVG is dit niet anders. Een bij voorbaat aangekruist vakje waarmee betrokkenen bepaalde instellingen accepteren is niet toegestaan, ongeacht of daarna nog wordt gevraagd de instellingen te accepteren. Hieruit blijkt immers geen duidelijk actieve handeling van betrokkenen. Samenvattend is voor de verwerking van persoonsgegevens de werkwijze ‘opt-out’ dus niet toegestaan .  Een bedrijf moet betrokkenen actief om toestemming vragen, en duidelijk informeren over de reden/het doel waarvoor om toestemming wordt verzocht.

Onze andere blog over wat jij voor 25 mei moet weten over de nieuwe privacywet, vind je hier.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail salome@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Lennert Salome

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Het retentierecht de feiten op een rijtje

Het retentierecht: de feiten op een rijtje

Door Michel Zaaijer | oktober 31, 2018

Hopelijk is het niet aan de orde van de dag, maar het komt bij jou als ondernemer vast wel eens voor dat een andere partij niet betaalt. Hoe los je dit nu op? Een mogelijke manier is het uitoefenen van het zogenaamde ‘retentierecht’. Wat dit precies is en welke stappen genomen moeten worden, legt onze…

Bestuurder BV handelt onrechtmatig wat nu

Bestuurder BV handelt onrechtmatig: wat nu?

Door Michel Zaaijer | augustus 22, 2018

Een BV kan aansprakelijk zijn voor schade omdat contractuele of wettelijke verplichtingen worden geschonden. Naast de BV kan de bestuurder achter de BV evengoed aansprakelijk zijn voor schade. Het gebeurt steeds vaker dat bij schade de bestuurder wordt aangesproken als diegene – gelet op zijn wettelijke taakuitoefening – onzorgvuldig of onbehoorlijk handelt. Als vast komt…

Duur parkeerplekje van € 4,20 naar € 300,-!

Duur parkeerplekje: van € 4,20 naar € 300,-!

Door Puk Birnie | november 14, 2018

Op 8 oktober deed de rechtbank Amsterdam uitspraak in een procedure over een parkeerboete. De rechter boog zich over de vragen of er een overeenkomst in de zin van artikel 6:217 BW was ontstaan, en of de bevoegdheid tot het opleggen van de hoge boete aangemerkt kon worden als een ‘oneerlijk beding’. Onze jurist civiel…

Jongetje van 9 raakt pink kwijt is school aansprakelijk

Jongetje van 9 raakt pink kwijt: is school aansprakelijk?

Door Puk Birnie | oktober 24, 2018

Op 10 juli 2018 deed de rechtbank Overijssel uitspraak in een zaak tussen de ouders van een jongetje van 9 en een basisschool. Tijdens het buitenspelen verloor het jongetje zijn pink na een ongeluk met een dichtgevallen putdeksel. De ouders vinden dat de school verantwoordelijk is voor het verliezen van de pink van het jongetje.…