Een lezer vroeg me:
Ik ben bestuurder van een stichting die lotgenoten van een medische aandoening wil helpen. Hiertoe koppelen wij patiënten aan buddy’s, en wij hebben een portaal ingericht waar je je aan kunt melden. Momenteel staat daar “Ik ga akkoord met de privacyverklaring”, maar ik had begrepen dat dat niet genoeg is. Hoe moet het wel?Al geruime tijd roep ik inderdaad dat mensen op moeten houden met akkoord vragen op privacyverklaringen. De achterliggend gedachte is dat een privacyverklaring een toelichting is. Zie het als de bijsluiter bij medicatie: daarin staat vooral details zoals hoe vaak innemen, bijwerkingen en wat als je een dosis gemist hebt.
Wat het medicijn doet en hoeveel je moet nemen, staat op de doos (en zegt de apotheker). Hier ook: je moet dus op het formulier aangeven waarom je die gegevens vraagt en wat daarmee gebeurt. Die tekst kun je dan laten verwijzen naar de privacyverklaring (“voor meer informatie, zie”) maar alléén een “zie de privacyverklaring voor wat we doen met je gegevens” is niet genoeg.
Akkoord vragen is dus irrelevant: dit gaat om informeren en toelichten, niet om de AVG-toestemmingsvraag.
Natuurlijk kan het zijn dat je de gegevens verwerkt op basis van toestemming als AVG-grondslag. In dat geval heb je een toestemmingsvraag nodig, maar ook dan verwijs je niet naar de privacyverklaring want daarin kan geen toestemmingsvraag staan en de inhoud van de verklaring is geen deel van de vraag.
Bij mensen met elkaar in contact brengen is toestemming denk ik de enige mogelijke grondslag. Specifiek bij een contactformulier kun je je echter afvragen of je nog wel een aparte vraag nodig hebt. De strekking van het formulier is immers duidelijk: deze gegevens gaan naar potentiële buddy’s (of jouw gegevens als buddy naar een patiënt die bij jou zou passen), dus hoe kun je invullen en opsturen anders opvatten dan een toestemming, een “Ja graag, doe maar”.
Arnoud
Bij deze casus (bij elkaar brengen van lotgenoten via een stichting) vraag ik me af of dat alleen zou kunnen via toestemming als grondslag voor verwerking. Ongeacht of het samenbrengen om niet dan wel tegen betaling aan de Stichting geschiedt, biedt uitvoering van een contractuele verbintenis tussen Stichting en deelnemers toch ook grondslag voor verwerking?
Hier sluit ik me bij aan.
Kan toestemming hier überhaupt wel, aangezien zonder toestemming de dienst niet geleverd kan worden en de facto dus verplicht is? Overweging 42 AVG:
Ik moest ook denken aan een eerdere blogpost: https://blog.iusmentis.com/2019/09/12/wie-toestemming-onder-de-avg-vraagt-snapt-de-avg-niet-of-heeft-een-nieuwsbrief/Akkoord niet, maar is een vinkje voor gelezen misschien wél nuttig, als bewijs dat je inderdaad je gebruiker hebt geïnformeerd?
De wet verplicht je niet te bewijzen dat de bezoeker het gelezen heeft, alleen maar dat je de informatie verstrekt hebt. Dus als hij het ongelezen weg wil knikkeren is dat zijn goed recht. Een vinkje kan dus maar kan ook irritatie opleveren. “Lees de privacyverklaring” in normaal leesbare letter is wat mij betreft prima als compromis dat binnen de wet past.
Naast het feit dat het nou niet zo is dat mensen werkelijk de verklaring gelezen hebben als ze het vinkje aanklikken. En dat is zo wijdverspreid en bekend dat er op vertrouwen moeilijk wordt.
Je moet aantonen waar iemand toestemming voor gegeven heeft en bij het WWW ontkom je er niet aan om te laten zien hoe het aan de bezoeker getoonde formulier er uit zag. Bij een antwoord op een formulier stuurt http alleen de inhoud van de ingevulde velden terug en niet de rest van de formuliertekst. Je zult moeten aantonen of “vinkje aan” betekent “ik wil een abonnement op de nieuwsbrief”, “stuur me folders voor donateurs” of “ik heb de privacy-verklaring gelezen.” en daarvoor heb je dat formulier nodig.
De stichting met buddies zal duidelijk moeten aangeven “jouw ingevulde gegevens worden gebruikt om je te matchen met een buddy en worden met (potentiële) buddies gedeeld.” “Zie hier onze privacyverklaring” (met link) is ook een goede zin om op te nemen. Natuurlijk zal de stichting haar medewerkers en vrijwilligers goed moeten instrueren over het belang van privacy en hoe daarmee om te gaan.