De nieuwe privacywetgeving: toestemming is niet zomaar gegeven!

Op 25 mei 2018 gaat de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) in. Vanaf die datum moeten bedrijven voldoen aan verschillende privacyvoorwaarden. Eén van die voorwaarden is dat betrokkenen toestemming moeten geven voor het gebruiken van hun persoonsgegevens. Wat is het gevolg als dit niet goed (genoeg) gebeurt?
De nieuwe privacywetgeving toestemming is niet zomaar gegeven!
Duidelijk toestemming geven
Onder de AVG, maar ook onder de huidige Wet bescherming persoonsgegevens (Wbp) zijn voorwaarden verbonden aan het verwerken van persoonsgegevens.  Persoonsgegevens mogen bijvoorbeeld gebruikt worden als dit noodzakelijk is op grond van een wettelijke verplichting, of voor de uitvoering van de overeenkomst met een betrokkene (degene op wie een persoonsgegeven betrekking heeft).

Het verwerken van persoonsgegevens is ook toegestaan als de betrokkene toestemming geeft, maar dan wel alleen voor het doel waarvoor de betrokkene toestemming geeft. De AVG bepaalt dat toestemming moet worden gegeven door een ‘duidelijk actieve handeling’. Uit de handeling moet blijken dat de betrokkene ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ met de verwerking van zijn persoonsgegevens instemt.

Om dit voor elkaar te krijgen moeten alle verwerkers van persoonsgegevens verplicht een privacyverklaring hebben, waarin betrokkenen op een informele en transparante wijze wordt uitgelegd wat er met hun persoonsgegevens gebeurt. Daarnaast moeten betrokkenen actief en duidelijk worden ingelicht over de doeleinden waarvoor de toestemming wordt gevraagd. Zij moeten hierbij een ‘accepteer’ of ‘akkoord’-knop al dan niet kunnen indrukken. Een ‘opt-out’ – automatisch accepteren, met daarna de mogelijkheid van niet-accepteren – is dus niet toegestaan. Dit blijkt wel uit het volgende.

Wat deed Microsoft?
De Autoriteit Persoonsgegevens tikte Microsoft onlangs op de vingers. Zij oordeelde dat Microsoft in strijd met de Wbp handelde. Dit deed Microsoft via Windows 10 Home en Pro. Microsoft vertelde de gebruikers van deze programma’s namelijk niet dat zij bij de standaardinstellingen, via de browser Edge, voortdurend gegevens verzamelde over het gebruik van apps en het surfgedrag.

Microsoft verzamelt constant  technische prestatie- en gebruiksgegevens (telemetrie).  Microsoft biedt twee niveaus voor instellingen aan: standaard en volledig. Microsoft verwerkt  bij de standaard instellingen beperkte gegevens over het gebruik van het apparaat. Bij volledige telemetrie verzamelt zij daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge.

De Autoriteit Persoonsgegevens constateerde dat Microsoft zowel bij de standaard als de volledige instellingen niet duidelijk maakte aan de gebruikers welke persoonsgegevens Microsoft verzamelde, en waarvoor. Dit, terwijl voor het aanbieden van bijvoorbeeld gepersonaliseerde advertenties, ondubbelzinnige toestemming is vereist van betrokkenen. Kortom: de werkwijze van Microsoft bij het verwerken en verzamelen van persoonsgegevens was niet duidelijk.

Het spreekt voor zich dat betrokkenen niet  ‘ondubbelzinnig’ toestemming geven, als zij niet juist en volledig zijn geïnformeerd over de doelen waarvoor Microsoft de persoonsgegevens verwerkt. De Autoriteit Persoonsgegevens oordeelde in dit geval dan ook dat geen sprake was van een wettelijke grondslag voor de verwerking van persoonsgegevens.

De optie voor de volledige instellingen en het aanbieden van gepersonaliseerde aanbiedingen stonden daarnaast standaard ingeschakeld bij Microsoft, en betrokkenen werden gevraagd deze te accepteren. Als betrokkenen deze instellingen bij de installatie niet actief wijzigen, wil dit niet zeggen dat zij dús toestemming geven voor het gebruik van hun gegevens, zo oordeelde de Autoriteit Persoonsgegevens terecht. Microsoft past dus (hopelijk) in het vervolg wel op!

Hoe heurt het eigenlijk?
Onder de AVG is dit niet anders. Een bij voorbaat aangekruist vakje waarmee betrokkenen bepaalde instellingen accepteren is niet toegestaan, ongeacht of daarna nog wordt gevraagd de instellingen te accepteren. Hieruit blijkt immers geen duidelijk actieve handeling van betrokkenen. Samenvattend is voor de verwerking van persoonsgegevens de werkwijze ‘opt-out’ dus niet toegestaan .  Een bedrijf moet betrokkenen actief om toestemming vragen, en duidelijk informeren over de reden/het doel waarvoor om toestemming wordt verzocht.

Onze andere blog over wat jij voor 25 mei moet weten over de nieuwe privacywet, vind je hier.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail salome@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Lennert Salome

Mis niets meer, ontvang wekelijks het laatste juridische nieuws!

Waarom Capri Sun haar vormmerk kwijtraakte

Waarom Capri Sun haar vormmerk kwijtraakte. Vrijbrief om de nietigheid van haar modelregistraties in te roepen?

Door Roos Sibbes | juli 31, 2019

Capri Sun, producent van kinderdrankjes in de bekende sta-zakjes, raakt haar vormmerk kwijt. Wat betekent dat in de praktijk?   Wat speelde zich af? Capri Sun Ag (hierna: Capri Sun) brengt kindervruchtensappen in de bekende ‘sta-zakjes’ op de markt onder het merk CAPRI SUN. Capri Sun heeft in 1997 een Internationale aanvraag voor een vormmerk…

Intersnack kraakt een harde noot met het merkrecht op Tijgernootjes

Intersnack kraakt een harde noot met het merkrecht op Tijgernootjes

Door Bodil Koppejan | juli 10, 2019

Iedereen kent de lekkernij wel van een feestje of van een gezellig avondje op de bank: het Tijgernootje. Sinds 1993 produceert en verhandelt Frito-Lay, eigenaar van Duyvis, de welbekende pinda waarvan de buitenste laag twee verschillende kleuren heeft waardoor er een tijgerpatroon ontstaat. Onlangs boog de rechtbank Gelderland zich over een zaak waarin het uiterlijk…

Koop is koop

De man met de hamer: koop is koop!

Door Babette van de Venne | juli 17, 2019

Op grond van de wet moet aan twee ‘simpele’ vereisten worden voldaan om een rechtsgeldige overeenkomst tot stand te laten komen. Er moet sprake zijn van een aanbod en van de aanvaarding van dat aanbod. Dit klinkt heel simpel, maar vaak ligt het toch iets genuanceerder dan dat. Een goed voorbeeld hiervan is de zaak…

#4, Vakblad Aannemer, waarschuwingsplicht

‘Er blijft weinig over van de eerste etage’: voldoende waarschuwing?

Door Babette van de Venne | april 30, 2019

Bij het uitvoeren van aannemingswerkzaamheden kan schade ontstaan. De opdrachtgever stelt zich in zo’n geval vaak op het standpunt dat er sprake is van wanprestatie, en houdt de aannemer aansprakelijk voor de schade. Aansprakelijk zijn voor schade vindt niemand prettig en zeker niet als de schade groot is. Daarom proberen aannemers hun aansprakelijkheid vaak contractueel…