Toestemming lijkt in het eerste jaar van de AVG bijna de meest geliefde grondslag om persoonsgegevens mee te verwerken.  Laatst hoorde ik een privacy- advocaat al praten over een “toestemmingverkramping”. Zijn pleidooi was om niet te snel naar toestemming te grijpen als grondslag voor verwerking.  Deze gerespecteerde advocaat vond toestemming maar “een heel gedoe”. En dat terwijl er voldoende alternatieven zijn voor toestemming als grondslag. Al eerder schreef ik over het onnodig toestemming vragen voor het gebruik van foto’s.

De advocaat heeft wel een punt. Per persoon moet toestemming worden gevraagd, de toestemming moet aantoonbaar zijn, dus worden geadministreerd of gelogd. De betrokkene kan de toestemming weer intrekken. De gegevens moeten dan worden verwijderd en mogen niet meer gebruikt worden. En dat is definitief, een andere grondslag mag je dan niet meer gebruiken.

Kortom, een hele rompslomp.

Wat zijn dan de alternatieven voor toestemming als grondslag?

Dat is natuurlijk per casus specifiek. Maar in het algemeen zullen “uitvoering van een overeenkomst” en gerechtvaardigd belang” het meest in aanmerking komen.

 

De grondslag “uitvoering van overeenkomst”:  denk aan dataminimalisatie

De eerste is vrij overzichtelijk: als een overeenkomst wordt gesloten dan is dat een prima grondslag voor het opvragen van persoonsgegevens.

Wat helaas nogal eens vergeten wordt, is dat de precontractuele fase ook daaronder valt. In de periode in aanloop naar het daadwerkelijk sluiten van de overeenkomst mogen ook al persoonsgegevens opgevraagd worden met deze grondslag.  Een voorbeeld dat ik laatst mee maakte. Ik wilde via internet een tafeltje in een restaurant reserveren en moest daarvoor een aantal gegevens op een webformulier invullen. Het formulier kon ik alleen versturen als ik aan vinkte dat ik akkoord ging met het gebruik van mijn gegevens.

Ongetwijfeld goed bedoeld maar volstrekt overbodig. De restaurateur en ik zaten in de precontractuele fase waarin hij mijn gegevens op mag vragen zonder mijn toestemming. Het “mondelinge contract” dat we gaan sluiten is immers dat ik bij hem ga eten. Hij levert mij een maaltijd en ik lever een tegenprestatie door die af te rekenen. Als ik tevreden ben misschien nog wel meer: ik geef een tip.

Daarbij geldt natuurlijk wel de eis van dataminimalisatie uit de AVG. Er mag op het webformulier niet overvraagd worden. Alleen de gegevens die noodzakelijk zijn voor het doel, in dit geval het reserveren van een tafeltje mogen gevraagd worden. Met name marketeers proberen hier nogal eens mee te smokkelen. Hou daarom de doelbinding scherp in de gaten. Naam, aantal personen, telefoonnummer, aankomsttijd dienen hier het doel.  Adres en woonplaats vind ik al wat dubieus worden. Waarom zijn die gegevens nodig voor het reserveren van een tafeltje? En waarschijnlijk waren mij die ook niet gevraagd bij een telefonische reservering.

Omdat het zo gemakkelijk vragen is, staat digitale verwerking nogal eens op gespannen voet met het begrip dataminimalisatie. Oppassen dus!

 

Stappen voor het gebruik van  “gerechtvaardigd belang” als grondslag

Als de grondslag “uitvoering overeenkomst” niet te gebruiken is, kun je als alternatief voor toestemming als grondslag soms ook de grondslag “gerechtvaardigd belang” gebruiken.  Dat is wel een wat complexere grondslag want deze vraagt wat denkwerk van de organisatie. En daar zit naar mijn idee precies de kneep waarom sneller naar “toestemming” wordt gegrepen. Bij het gebruik van “gerechtvaardigd belang” moet de organisatie een aantal afwegingen maken. Bij “toestemming” leg je die afweging bij de betrokkenen, bij je klanten neer. De klant moet nadenken of hij het verwerken van zijn persoonsgegevens wenselijk vindt.

Toch is deze grondslag zeker voor commerciële organisaties beter en efficiënter dan “toestemming. Er is maar eenmalig een aantal maatregelen nodig. Eén keer een exercitie maken in tegenstelling tot de continue rompslomp van “toestemming”.  Bovendien dwingt het de organisatie om na te denken over de verwerking van persoonsgegevens.

Welke stappen moet de organisatie maken om deze grondslag te gebruiken?

Het Hof van Justitie heeft in 2017 in een arrest drie voorwaarden gesteld waar aan voldaan moet worden voor het gebruik van “gerechtvaardigd belang”.

  1. Het belang moet duidelijk en specifiek omschreven zijn en een direct doel dienen
  2. De verwerking van de persoonsgegevens is noodzakelijk om het belang te behartigen
  3. Er moet een afweging plaatsvinden tussen het belang van de organisatie en de privacybelangen van betrokkenen.

Die afweging moet zorgvuldig gebeuren en aantoonbaar zijn.

Je kunt dus niet zo maar stellen dat je een gerechtvaardigd belang hebt. Het gebruik van deze grondslag vraagt een goede documentatie. Je moet het belang, het doel en de noodzaak van de verwerking scherp omschrijven.  Ook de elementen die in belangenafweging zijn meegenomen moeten worden vastgelegd.

Ik geef toe, dit is even een behoorlijke klus, maar het voordeel is dat je daarna voor het omschreven doel “onderhoudsvrij” de persoonsgegevens mag verwerken.  Wel raad ik aan om jaarlijks, bijvoorbeeld tegelijk met de evaluatie van je Register datalekken, de documentatie te evalueren en in de praktijk te auditen.

Meer special topics uit de AVG lezen?

Download dan gratis de whitepapers over:

  • bewustwording creëren bij medewerkers
  • Cookies: wat mag en moet?
  • De Functionaris Gegevensbescherming: een merkwaardig figuur

Of schaf mijn boek Lean privacy, efficiënt werken met de AVG aan. Hier in beschrijf ik hoe organisaties efficiënt kunnen voldoen aan de AVG en tegelijkertijd klantvertrouwen en – waarde kunnen creëren met persoonsgegevens en privacy.

Hulp nodig?

Hulp nodig bij het uitwerken van de Grondslag Gerechtvaardigd Belang of bij een LIA?  Neem contact op of plan meteen een afspraak.

 

 

 

Gerelateerd