Wie toestemming onder de AVG vraagt, snapt de AVG niet (of heeft een nieuwsbrief)

Een lezer vroeg me:

Van mijn garagebedrijf kreeg ik een toestemmingsformulier voor het verwerken van mijn gegevens: opname in klantenbestand, verstrekking van mijn persoonsgegevens aan derden in het kader van betalingen en verstrekking van mijn persoonsgegevens aan partners in het kader van een goede dienstverlening, zover dit nodig is. Waarom eist de AVG in hemelsnaam dat mensen in dit soort situaties toestemming vragen? Het spreekt toch voor zich dat ik dit wil als ik bij deze garage mijn auto wil laten repareren?

Als ik even zo vrij mag zijn op donderdagochtend: dit is pertinente onzin, en wie toestemmingsformulieren zit te maken onder de AVG mag daar gelijk mee ophouden. Kan me niet schelen wat je doet, je doet het fout. Behalve als je met nieuwsbrieven bezig bent.

Om een of andere reden hebben mensen het idee gekregen dat je onder de AVG overal toestemming voor moet vragen. Ik denk dat dat komt omdat toestemming als de eerste van de zes grondslagen in de wet staat (artikel 6.1 AVG) en men daarna ophoudt met lezen. Een kapitale fout wat mij betreft, met schandalige gevolgen zoals dat kinderen niet naar de tandarts gaan (wat ook volgens de AP onzin is.) Toestemming is de minst zinvolle en minst werkbare grondslag, en als organisatie moet je niet willen werken onder die grondslag.

Het hele idee achter de AVG is dat je eigenlijk alleen persoonsgegevens gaat gebruiken als het niet anders kan. Bij die garage: je hebt gegevens nodig voor de overeenkomst, je wilt je factuur betaald krijgen en soms moeten gegevens ingewonnen bij de dealer of gaat een stukje van het werk door een ander (zoals de verzekeraar). Dat mag gewoon van de AVG, we noemen dat “noodzaak overeenkomst”, grondslag b.

Ook kun je je vaak beroepen op de grondslag van het eigen legitiem belang (sub f), waarbij je dus een afweging van belangen maakt. Toestemming vragen is daarbij niet aan de orde. Verwarrend is daarbij wel dat je vaak een opt-out invoert als deel van die belangenafweging, want met opt-out houd je meer rekening met mensen hun privacybelang, maar die opt-out is heel wat anders dan toestemming. En je moet niet vergeten die afweging daadwerkelijk te maken en op papier te zetten, dat is waar Manfield over struikelde toen ze vingerafdrukherkenning wilde inzetten bij hun personeel.

Mij bekruipt het gevoel dat mensen niet weten hoe zo’n afweging te maken, of het eng vinden een standpunt in te nemen en dan maar toestemming gaan vragen. “Dan zit je in ieder geval goed, toch?” Nope. Al is het maar omdat je óók bij toestemming een noodzakelijkheids- en proportionaliteitstoets moet maken, en geen hond die dat doet bij z’n toestemmingsformulier.

Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

Behalve nieuwsbrieven dus. Die verstuur je met toestemming (opt-in) en het is geen ramp als iemand die toestemming intrekt. Dan haal je ‘m gewoon uit het bestand. Specifiek daar zie ik toestemming wel werken.

Maar afgezien van nieuwsbrieven dus is er géén zakelijk belang denkbaar waarbij je gaat drijven op toestemming. Wie denkt van wel, ik hoor het graag maar dan wel alsjeblieft inclusief uitleg wat er gebeurt als die toestemming 1 seconde na het geven ingetrokken wordt. Of beter gezegd, waarom het niet erg is dat er niets gebeurt nadat die toestemming ingetrokken blijkt.

Arnoud

33 reacties

  1. Als we niet oppassen zitten we hier straks met dezelfde cargocultuur toepassing van de AVG als in de VS met wel meer van dit soort zaken gebeurt. Goed dat in ieder geval Arnoud dit als signaal afgeeft, maar ik vrees dat dit niet voldoende is.

  2. Dat zo’n bedrijfje het niet begrijpt vind ik niet zo gek maar ik vraag me af of garagebedrijven geen branche vereniging heeft die gewoon de gevolgen van de AVG wetgeving heeft uitgelegd aan de leden.

    Eigenlijk betaal je gewoon voor informatie met je privacy

  3. Ik zie nog heel veel vooral internationale internetbedrijven toestemming vragen om informatie over je te verzamelen en daar van alles mee te doen. Echter daar is het vaak een vraag die je alleen met ja kan beantwoorden anders krijg je gewoon geen toegang tot de informatie op site.

      1. Bedoel je daar nu mee dat je toegang moet krijgen ook als je niet akkoord gaat?

        Ben zelf met een nieuwe persoonlijke website bezig. Op één van mijn eerdere site kon iedereen posten, maar logde ik IP adressen om trolls te kunnen bannen. (Net als hier was posten zonder account mogelijk) Ik was dus van plan om akkoord gaan met die IP logging als voorwaarde voor bezoek aan de nieuwe site te stellen en anders mensen van de site te weren.

        Als dat niet mag, kan je dan op zijn minst mensen read only toegang geven en voor posten een akkoord met de IP tracking eisen?

        Ik heb geen zin om een account verplicht te stellen voor posten, omdat dat weer een extra drempel is.

        1. Ik was dus van plan om akkoord gaan met die IP logging als voorwaarde voor bezoek aan de nieuwe site te stellen en anders mensen van de site te weren.

          Als jij die IP adressen alleen gebruikt om trolls te kunnen bannen, heb je een gerechtvaardigd belang en hoef je geen toestemming te vragen. Natuurlijk moet je ze nog steeds goed beschermen, niet langer bewaren dan nodig, en niet voor andere dingen gebruiken.

        2. Je hoeft geen toestemming te vragen voor IP logging. Je moet je redenen voor IP logging op papier zetten, en motiveren waarom IP-logging noodzakelijk is voor die redenen en waarom je niet anders kunt (bv. laatste octet weglaten is mogelijk als het gaat om algemene statistieken, maar niet als je trollen wilt weren.). Daarna ga je na wat voor privacy-impact er is -in dit geval is die vrij minimaal mits de logs niet hergebruikt worden voor andere doelen- en neem je eventueel maatregelen. Dan is het klaar en is je grondslag het eigen gerechtvaardigd belang.

          1. Mmm

            Ik zou wel graag de motivatie van het bijhouden van het IP-adres willen zien, met name waarom het noodzakelijk is en hoelang bij te houden dan. Ik heb net mijn IP-adres gewijzigd in een kleine minuut. En dan heb ik nog geen VPN gestart, want dan is dat iets van een 10 seconden of minder. –> Het helpt niet bij het doel.

            De meesten vergeten het duidelijke en belangrijke art. 5 van de AVG.

            1. Op deze blog houd ik IP-adressen bij om spammers en trollen te kunnen weren, en om goedgekeurde reageerders eenvoudiger nieuwe reacties te laten plaatsen. Als e-mailadres en IP-adres niet wijzigen dan mag je blijven reageren zonder premoderatie.

              Geen maatregel is 100% effectief en waterdicht, maar artikel 5 AVG vereist dat niet.

                1. De maatregel dient mijn bedrijfsbelang, en dat is een grondrecht (vrijheid van ondernemerschap). Ik heb eigenlijk geen andere middelen om het belang te dienen. Volgens mij is dat genoeg om de noodzaak uit artikel 6 lid 1 sub f AVG te onderbouwen, even los van de privacy-afweging die daarop volgt. Ik ben erg benieuwd hoe je voorstelt dat ik spammers/trollen buiten de deur houd zonder IP-adressen bij te houden?

                  Wat het reageren betreft, dit voelt als zo’n onschuldige maatregel waar zo veel mensen hier van profiteren dat ik me geen DPIA kan voorstellen waaruit volgt dat dit niet zou mogen.

                  1. Ik hoop dat je eerste zin volgens jou geen noodzaak impliceert, maar eerder een basis kan zijn voor een gerechtvaardigd belang.

                    Zonder in teveel -technische- details te treden: Voor geautomatiseerde gaat het bijhouden van IP-adressen niet helpen, die gaan een ander IP-adres gebruiken de volgende keer. Voor geautomatiseerde spammers en trollen zijn er een aantal mogelijkheden (die te samen kunnen gebruikt worden) : Aan welk land is het Ip-adres toegekend en blokkeer de IP-adressen van landen die problemen geven en geen gebruikers kennen (China bv). Doe een controle opgebruikte woorden en met een beetje “bayesian” filtering is hier veel uit te halen. Een taaltoets, als dat al niet uit het vorige blijkt. Hoe snel reageren ze en reageren ze überhaupt op de huidige pagina. Enkele eenvoudige controles of het antwoord zich gedraagt zoals een browser zou doen. Er zijn algemene spam blacklists, maar daar moet je wel even nagaan of ze geen persoonsgegevens bevatten en dat is vaak een probleem.

                    Wat haal je er niet uit zo : Een troll die op zich logische onderwerpspecifieke zaken schrijft, maar door haar/zijn gedrag echt wel ongewenst is. Daar zou je kunnen werken met een hash die slechts een beperkt aantal mogelijkheden heeft, bv. 1/10.000.

                    Nu volg ik wel dat het een beperkte maatregel is, met een gering effect. Om op het oorspronkelijke onderwerp terug te komen, het vermijden van premoderatie lijkt me wel iets dat geschikt is om op basis van toestemming te doen en daar zie ik ook niet direct een alternatief qua werkwijze.

                    1. Mijn eerdere site was voor een game en de ’trollen’ poste berichten van letterlijke het niveau ‘scheldwoorden en synoniemen voor poep’.

                      Met andere woorden geen professionele spammers of trollen, maar puberaal gedrag. En die namen echt niet de moeite om hun IP adres te veranderen.

                      Verder is los daarvan op al mijn servers nog steeds elke russisch en chinese IP range ‘geblokkeerd’. Ik weet ook wel dat dat geen 100% oplossing is, maar het scheelt bijna dagelijks portscans die nu niet eens meer zien dat er uberhaupt een server op dat IP adres te vinden is.

                        1. Die haalt de posts eruit, maar voorkomt niet dat dezelfde persoon daarna nog post op de website. Ik heb een zero geduld met trashposters en een zeer strikte banhammer.

                          Mijn andere sites zijn zelfs niet openbaar, maar moet je een account voor hebben om uberhaupt meer dan een login scherm te zien.

                    2. Een redelijke en legitieme uitoefening van een grondrecht geeft volgens mij in beginsel een noodzaak. Een andere invulling leidt er volgens mij toe dat je vrijwel nooit aan een noodzaak toekomt. Alle online betaalsystemen zijn onnodig, je kunt immers prima contant betalen. Daar geloof ik niet in.

                      Verder vereist de AVG niet dat je maatregel perfect is. Hij moet adequaat zijn en het doel dienen. De alternatieven die je noemt, klinken mij veel ingewikkelder en complexer met kans op vals positieven (uitsluiting van vraagstellers uit China op basis van IP-range, daar was iets mee).

                      1. Naar noodzaak heb ik in het begin van de AVG wat meer opvragingen gedaan en daar kwam consequent uit dat het beperkend moet gelezen worden, het is zeker verschillend van nuttig. Een mooie quote “Redelijkerwijs zou niemand in jouw situatie anders kunnen.” Als ik jouw eerste zin lees van je 2 voorgaande posts, mag een bedrijf zowat alles.

                        De technische complexiteit valt echt wel mee, maar is volgens mij geen criterium van de AVG. Zie bv https://jemsmailform.com/ . Je hebt trouwens ook vals positieven door te werken op IP-adres en deze zijn hoogstwaarschijnlijk veel minder voorspelbaar.

  4. Maar belangrijker: toestemming kan op ieder moment worden ingetrokken, zonder opgaaf van redenen en zonder enige consequentie. Als je dus een bedrijfsproces hebt dat afhankelijk is van toestemming, dan moet je er dus vanuit gaan dat je bedrijfsproces stilstaat omdat niemand toestemming geeft. Ik kan me niet voorstellen dat dat een nuttig bedrijfsproces is.

    Dit dus, kan niet vaak genoegd gezegd worden!

  5. Als je toestemming als grondslag voor de verwerking gebruikt, kun je ook niet zomaar overstappen op een andere grondslag als die toestemming ingetrokken wordt. Uit Article 29 Working Party Guidelines on consent:

    It is important to note here that if a controller chooses to rely on consent for any part of the processing, they must be prepared to respect that choice and stop that part of the processing if an individual withdraws consent. Sending out the message that data will be processed on the basis of consent, while actually some other lawful basis is relied on, would be fundamentally unfair to individuals.
    In other words, the controller cannot swap from consent to other lawful bases. For example, it is not allowed to retrospectively utilise the legitimate interest basis in order to justify processing, where problems have been encountered with the validity of consent. Because of the requirement to disclose the lawful basis which the controller is relying upon at the time of collection of personal data, controllers must have decided in advance of collection what the applicable lawful basis is.

      1. De consequentie is dus dat als je een legitiem belang hebt en om toestemming vraagt, je zelfs niet meer op basis van datzelfde legitieme belang de gegevens mag aanhouden. Groot risico voor die garagehouder die vraagt om toestemming om persoonsgegevens in zijn debiteurenbestand op te nemen. Wat moet hij nu als een klant met een openstaande rekening van 2500 euro zijn toestemming intrekt. Legitiem belang telt dan niet meer…

  6. Sorry, een off-topic. Zou je met net zo’n krachtige kop ook eens iets kunnen schrijven over de verwerkersovereenkomst? Veel verenigingen hebben in hun privacyverklaring iets staan als ‘wij geven nooit persoonsgegevens door aan andere partijen waarmee we geen verwerkersovereenkomst hebben afgesloten’. Dit is zeer waarschijnlijk afkomstig van de stichting ‘AVG voor Verenigingen’, die een op zich goed initiatief heeft genomen om verenigingen (40.000 volgens hun website) te helpen (€) met de AVG. Maar die aangehaalde zin betekent dat wij als VVE een met de loodgieter een overeenkomst zouden moeten afsluiten als ik deze (als bestuurslid) een opdracht geef een lekkage te repareren bij de John Doe met tel nummer en adres.

  7. Net op Radio 1: ontwikkeling van kunstmatige intelligentie gebeurt steeds vaker in landen waar de privacyregels minder streng zijn, zoals de VS, en niet in EU-landen. Voorbeeld: systemen die kankergezwellen leren herkennen op röntgenfoto’s. Voor de training heb je duizenden foto’s nodig. In de EU moet je voor iedere foto toestemming vragen, en dat is niet te doen.

    Klopt dat niet, in het licht van dit artikel van Arnoud? Of is het anders omdat medische gegevens een bijzondere categorie zijn?

    1. Ander voorbeeld: van die programma’s met deurwaarders (er is een Engelse en een Nederlandse variant) die schulden gaan innen, en over rechtzaken (politierechter). Sommige mensen zijn geblurd, die hebben dan kennelijk geen toestemming gegeven. Anderen komen wel vol in beeld.

      Toestemming niet goed? Het gerechtvaardigd belang een interessant programma te maken is al voldoende?

    2. Bij bijzondere persoonsgegevens ligt dat inderdaad iets ingewikkelder, omdat daar noodzaak overeenkomst of eigen gerechtvaardigd belang niet genoeg zijn. Je moet dan grofweg een specifieke wettelijke basis hebben. Zo mag je geen bijzondere persoonsgegevens voor statistiek inzetten zonder toestemming tenzij dat het algemeen belang dient en toestemming vragen onevenredige inspanning kost (artikel 24 UAVG).

      Lastigste aan toestemming is dat deze kan worden ingetrokken. Dat doet pijn in je dataset. Ik kan nergens vinden hoe dat uit gaat pakken bij dit soort ontwikkelingen.

      Ik zou zelf adviseren te kijken hoe die foto’s zo te bewerken zijn dat ze geen persoonsgegevens meer zijn. Hier spreekt vast mijn gebrek aan medische kennis maar is een closeup van een tumor zonder patiëntnummer echt nog te herleiden tot een specifieke persoon?

      1. Ondertussen zie ik overweging 157 uit de AVG, https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679, citaat:

        (157) Door gegevens uit verschillende registers te koppelen, kunnen onderzoekers nieuwe en zeer waardevolle kennis verwerven over veel voorkomende medische aandoeningen zoals hart- en vaatziekten, kanker en depressie. Omdat zij op een groter deel van de bevolking zijn gebaseerd, kunnen onderzoeksresultaten met behulp van registers worden verbeterd. In de sociale wetenschappen kunnen wetenschappers dankzij registeronderzoek essentiële kennis verwerven over de wisselwerking op lange termijn van een aantal sociale factoren, zoals werkloosheid en onderwijs met andere levensomstandigheden. Onderzoeksresultaten die door middel van registers worden verkregen, leveren solide kennis van hoge kwaliteit op, die kan worden gebruikt om een op kennis gebaseerd beleid te ontwikkelen en te implementeren, de levenskwaliteit van een deel van de bevolking te verbeteren, en sociale diensten efficiënter te maken. Daarom moet, teneinde wetenschappelijk onderzoek te faciliteren, worden bepaald dat persoonsgegevens, met inachtneming van de passende voorwaarden en waarborgen die in het Unierecht of het lidstatelijke recht zijn vastgesteld, met het oog op wetenschappelijk onderzoek mogen worden verwerkt.

  8. Mij lijkt dat het wel te doen is, omdat het contact met de patiënt er toch al is. Zelf weet ik van de vragenlijst (o.a. over risicofactoren) bij de bloedbank, dat je daar ook kunt aankruisen dat ze bloedmonsters mogen gebruiken voor onderzoek. Datum en handtekening eronder, dat is toestemming. Niet goed?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.