De nieuwe privacywetgeving: toestemming is niet zomaar gegeven!

Op 25 mei 2018 gaat de nieuwe privacywetgeving van de ‘Algemene Verordening Gegevensbescherming’ (AVG) in. Vanaf die datum moeten bedrijven voldoen aan verschillende privacyvoorwaarden. Eén van die voorwaarden is dat betrokkenen toestemming moeten geven voor het gebruiken van hun persoonsgegevens. Wat is het gevolg als dit niet goed (genoeg) gebeurt?
De nieuwe privacywetgeving toestemming is niet zomaar gegeven!
Duidelijk toestemming geven
Onder de AVG, maar ook onder de huidige Wet bescherming persoonsgegevens (Wbp) zijn voorwaarden verbonden aan het verwerken van persoonsgegevens.  Persoonsgegevens mogen bijvoorbeeld gebruikt worden als dit noodzakelijk is op grond van een wettelijke verplichting, of voor de uitvoering van de overeenkomst met een betrokkene (degene op wie een persoonsgegeven betrekking heeft).

Het verwerken van persoonsgegevens is ook toegestaan als de betrokkene toestemming geeft, maar dan wel alleen voor het doel waarvoor de betrokkene toestemming geeft. De AVG bepaalt dat toestemming moet worden gegeven door een ‘duidelijk actieve handeling’. Uit de handeling moet blijken dat de betrokkene ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ met de verwerking van zijn persoonsgegevens instemt.

Om dit voor elkaar te krijgen moeten alle verwerkers van persoonsgegevens verplicht een privacyverklaring hebben, waarin betrokkenen op een informele en transparante wijze wordt uitgelegd wat er met hun persoonsgegevens gebeurt. Daarnaast moeten betrokkenen actief en duidelijk worden ingelicht over de doeleinden waarvoor de toestemming wordt gevraagd. Zij moeten hierbij een ‘accepteer’ of ‘akkoord’-knop al dan niet kunnen indrukken. Een ‘opt-out’ – automatisch accepteren, met daarna de mogelijkheid van niet-accepteren – is dus niet toegestaan. Dit blijkt wel uit het volgende.

Wat deed Microsoft?
De Autoriteit Persoonsgegevens tikte Microsoft onlangs op de vingers. Zij oordeelde dat Microsoft in strijd met de Wbp handelde. Dit deed Microsoft via Windows 10 Home en Pro. Microsoft vertelde de gebruikers van deze programma’s namelijk niet dat zij bij de standaardinstellingen, via de browser Edge, voortdurend gegevens verzamelde over het gebruik van apps en het surfgedrag.

Microsoft verzamelt constant  technische prestatie- en gebruiksgegevens (telemetrie).  Microsoft biedt twee niveaus voor instellingen aan: standaard en volledig. Microsoft verwerkt  bij de standaard instellingen beperkte gegevens over het gebruik van het apparaat. Bij volledige telemetrie verzamelt zij daarnaast gedetailleerde gegevens over het appgebruik en het surfgedrag via de browser Edge.

De Autoriteit Persoonsgegevens constateerde dat Microsoft zowel bij de standaard als de volledige instellingen niet duidelijk maakte aan de gebruikers welke persoonsgegevens Microsoft verzamelde, en waarvoor. Dit, terwijl voor het aanbieden van bijvoorbeeld gepersonaliseerde advertenties, ondubbelzinnige toestemming is vereist van betrokkenen. Kortom: de werkwijze van Microsoft bij het verwerken en verzamelen van persoonsgegevens was niet duidelijk.

Het spreekt voor zich dat betrokkenen niet  ‘ondubbelzinnig’ toestemming geven, als zij niet juist en volledig zijn geïnformeerd over de doelen waarvoor Microsoft de persoonsgegevens verwerkt. De Autoriteit Persoonsgegevens oordeelde in dit geval dan ook dat geen sprake was van een wettelijke grondslag voor de verwerking van persoonsgegevens.

De optie voor de volledige instellingen en het aanbieden van gepersonaliseerde aanbiedingen stonden daarnaast standaard ingeschakeld bij Microsoft, en betrokkenen werden gevraagd deze te accepteren. Als betrokkenen deze instellingen bij de installatie niet actief wijzigen, wil dit niet zeggen dat zij dús toestemming geven voor het gebruik van hun gegevens, zo oordeelde de Autoriteit Persoonsgegevens terecht. Microsoft past dus (hopelijk) in het vervolg wel op!

Hoe heurt het eigenlijk?
Onder de AVG is dit niet anders. Een bij voorbaat aangekruist vakje waarmee betrokkenen bepaalde instellingen accepteren is niet toegestaan, ongeacht of daarna nog wordt gevraagd de instellingen te accepteren. Hieruit blijkt immers geen duidelijk actieve handeling van betrokkenen. Samenvattend is voor de verwerking van persoonsgegevens de werkwijze ‘opt-out’ dus niet toegestaan .  Een bedrijf moet betrokkenen actief om toestemming vragen, en duidelijk informeren over de reden/het doel waarvoor om toestemming wordt verzocht.

Onze andere blog over wat jij voor 25 mei moet weten over de nieuwe privacywet, vind je hier.

Wil je weten of jouw bedrijf al ‘Privacyproof’ is voor 2018? Met onze gratis privacycheck kun je snel online controleren of je bedrijf al klaar is voor de nieuwe privacywetgeving van 25 mei 2018. Of heb je andere vragen over privacy(wetgeving)? Neem dan contact met mij op per e-mail salome@legalmatters.com of telefonisch 088 – 6288 388. Ik help je graag verder!

Posted in ,

Lennert Salome

Wekelijks op de hoogte blijven van juridisch nieuws?

Opletten met overwerk wijziging WML!

Opletten met overwerk: wijziging WML!

Door Charlotte van Eeden | april 18, 2018

Per 1 januari 2018 wijzigde de Wet minimumloon en minimumvakantiebijslag (WML). Vorig jaar is de leeftijd waarop een werknemer recht heeft op het wettelijk minimumloon al aangepast van 23 jaar naar 22 jaar. Nu schrijft de wet andere regels voor met betrekking tot minimumloon en de vakantietoeslag bij overwerk. Wat veranderde er? Voor de wijziging…

Werknemer installeert bitcoinmachine en wordt ontslagen mag dat

Werknemer installeert stiekem een bitcoinmachine en wordt ontslagen: mag dat?

Door Charlotte van Eeden | maart 31, 2018

Onlangs schreven wij al een artikel over het investeren in bitcoins, en wat hierbij mis kan gaan. Nu bespreken wij een andere situatie: een werknemer installeerde voor het minen van bitcoins stiekem een machine op kantoor. Deze werknemer is op staande voet ontslagen. Is dit terecht? De feiten op een rij De werknemer werkte sinds…

#3, Vakblad Aannemer, Schade aan bedrijfseigendommen.LegalMatters

Schade aan bedrijfseigendommen

Door Charlotte van Eeden | maart 29, 2018

Werknemers bezitten vaak bedrijfseigendommen, zoals een bus vol gereedschap of een laptop. Maar wie betaalt als er als hier schade aan ontstaat? Onze jurist Charlotte van Eeden legt tegenover Vakblad Aannemer uit hoe het precies zit.

Rechter legt ICI PARIS over de knie: werkneemster onterecht op staande voet ontslagen

Door Charlotte van Eeden | februari 28, 2018

Onlangs publiceerden wij een artikel over Kruidvat die een medewerkster op staande voet ontsloeg, omdat zij een gratis crème gebruikte. Dat de rechter het ontslag goedkeurde, bleek toch niet zo verrassend. Nu is weer een werkneemster ontslagen, dit keer van ICI PARIS XL. Zij gaf haar broer proefjes en gifts mee toen hij een parfum…