De nieuwe privacywetgeving: toestemming is niet zomaar gegeven!

Op 25 mei 2018 gaat de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) in. Vanaf die datum moeten bedrijven voldoen aan verschillende privacyvoorwaarden. Eén van die voorwaarden is dat betrokkenen toestemming moeten geven voor het gebruiken van hun persoonsgegevens. Wat is het gevolg als dit niet goed (genoeg) gebeurt?
De nieuwe privacywetgeving toestemming is niet zomaar gegeven!
Duidelijk toestemming geven
Onder de AVG, maar ook onder de huidige Wet bescherming persoonsgegevens (Wbp) zijn voorwaarden verbonden aan het verwerken van persoonsgegevens.  Persoonsgegevens mogen bijvoorbeeld gebruikt worden als dit noodzakelijk is op grond van een wettelijke verplichting, of voor de uitvoering van de overeenkomst met een betrokkene (degene op wie een persoonsgegeven betrekking heeft).

Het verwerken van persoonsgegevens is ook toegestaan als de betrokkene toestemming geeft, maar dan wel alleen voor het doel waarvoor de betrokkene toestemming geeft. De AVG bepaalt dat toestemming moet worden gegeven door een ‘duidelijk actieve handeling’. Uit de handeling moet blijken dat de betrokkene ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ met de verwerking van zijn persoonsgegevens instemt.

Om dit voor elkaar te krijgen moeten alle verwerkers van persoonsgegevens verplicht een privacyverklaring hebben, waarin betrokkenen op een informele en transparante wijze wordt uitgelegd wat er met hun persoonsgegevens gebeurt. Daarnaast moeten betrokkenen actief en duidelijk worden ingelicht over de doeleinden waarvoor de toestemming wordt gevraagd. Zij moeten hierbij een ‘accepteer’ of ‘akkoord’-knop al dan niet kunnen indrukken. Een ‘opt-out’ – automatisch accepteren, met daarna de mogelijkheid van niet-accepteren – is dus niet toegestaan. Dit blijkt wel uit het volgende.

Wat deed Microsoft?
De Autoriteit Persoonsgegevens tikte Microsoft onlangs op de vingers. Zij oordeelde dat Microsoft in strijd met de Wbp handelde. Dit deed Microsoft via Windows 10 Home en Pro. Microsoft vertelde de gebruikers van deze programma’s namelijk niet dat zij bij de standaardinstellingen, via de browser Edge, voortdurend gegevens verzamelde over het gebruik van apps en het surfgedrag.

Microsoft verzamelt constant  technische prestatie- en gebruiksgegevens (telemetrie).  Microsoft biedt twee niveaus voor instellingen aan: standaard en volledig. Microsoft verwerkt  bij de standaard instellingen beperkte gegevens over het gebruik van het apparaat. Bij volledige telemetrie verzamelt zij daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge.

De Autoriteit Persoonsgegevens constateerde dat Microsoft zowel bij de standaard als de volledige instellingen niet duidelijk maakte aan de gebruikers welke persoonsgegevens Microsoft verzamelde, en waarvoor. Dit, terwijl voor het aanbieden van bijvoorbeeld gepersonaliseerde advertenties, ondubbelzinnige toestemming is vereist van betrokkenen. Kortom: de werkwijze van Microsoft bij het verwerken en verzamelen van persoonsgegevens was niet duidelijk.

Het spreekt voor zich dat betrokkenen niet  ‘ondubbelzinnig’ toestemming geven, als zij niet juist en volledig zijn geïnformeerd over de doelen waarvoor Microsoft de persoonsgegevens verwerkt. De Autoriteit Persoonsgegevens oordeelde in dit geval dan ook dat geen sprake was van een wettelijke grondslag voor de verwerking van persoonsgegevens.

De optie voor de volledige instellingen en het aanbieden van gepersonaliseerde aanbiedingen stonden daarnaast standaard ingeschakeld bij Microsoft, en betrokkenen werden gevraagd deze te accepteren. Als betrokkenen deze instellingen bij de installatie niet actief wijzigen, wil dit niet zeggen dat zij dús toestemming geven voor het gebruik van hun gegevens, zo oordeelde de Autoriteit Persoonsgegevens terecht. Microsoft past dus (hopelijk) in het vervolg wel op!

Hoe heurt het eigenlijk?
Onder de AVG is dit niet anders. Een bij voorbaat aangekruist vakje waarmee betrokkenen bepaalde instellingen accepteren is niet toegestaan, ongeacht of daarna nog wordt gevraagd de instellingen te accepteren. Hieruit blijkt immers geen duidelijk actieve handeling van betrokkenen. Samenvattend is voor de verwerking van persoonsgegevens de werkwijze ‘opt-out’ dus niet toegestaan .  Een bedrijf moet betrokkenen actief om toestemming vragen, en duidelijk informeren over de reden/het doel waarvoor om toestemming wordt verzocht.

Onze andere blog over wat jij voor 25 mei moet weten over de nieuwe privacywet, vind je hier.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail salome@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Lennert Salome

Wekelijks op de hoogte blijven van juridisch nieuws?

Opgelet bij het ontbinden van overeenkomsten!

Opgelet bij het ontbinden van overeenkomsten!

Door Puk Birnie | juli 11, 2018

Het gebeurt dagelijks: het sluiten van overeenkomsten. Helaas ontstaan er ook problemen bij de uitvoering van overeenkomsten. Zo kan een aannemer slecht werk leveren, of een product niet voldoen aan de verwachtingen.  Veel mensen houden vast aan de gedachte dat men altijd de overeenkomst nog kan ontbinden. Toch werkt het in de praktijk niet zo.…

Bedrag overgemaakt naar verkeerde ontvanger wat nu

Bedrag overgemaakt naar verkeerde ontvanger: wat nu?

Door Puk Birnie | juni 12, 2018

Als ondernemer zijn financiële handelingen aan de orde van de dag. Met een alerte controller in dienst worden fouten niet snel gemaakt. Toch kan het gebeuren dat je een geldbedrag per ongeluk naar een verkeerd rekeningnummer overmaakt. Onlangs deed de rechtbank Amsterdam uitspraak in een zaak betreffende een zogeheten ‘onverschuldigde betaling’. De zaak kwam groot…

Niet-geslaagde mediation reden voor ontbinding

Niet-geslaagde mediation reden voor ontbinding arbeidsovereenkomst?

Door Charlotte van Eeden | juli 11, 2018

Hoewel jij als werkgever hopelijk alleen maar talentvolle werknemers in dienst hebt waar je het óók nog eens goed mee kan vinden, is het natuurlijk mogelijk dat dit niet het geval is. In sommige gevallen moeten werkgever en werknemer zelfs met elkaar in gesprek onder begeleiding van een mediator. Maar wat als zo’n mediationtraject niet…

De 7 stappen die jij móet nemen als jouw werknemer ziek is

De 7 stappen die jij móet nemen als jouw werknemer ziek is

Door Charlotte van Eeden | juni 6, 2018

Helaas horen bij het ondernemerschap ook minder leuke kanten. Zo kan het gebeuren dat één van jouw werknemers ziek wordt. Naast het feit dat dat voor de werknemer uiterst vervelend is, brengt het voor jou als werkgever ook een hoop kosten met zich mee. Als je daarnaast de plichten vanuit de Wet Poortwachter niet (goed)…