Toestemming binnen de AVG? No Way!
Pfoeh, die AVG, wat een gedoe he? Nou ja, gewoon bij alles om toestemming vragen, dan heb je het goed geregeld toch? Maar toestemming is helemaal niet altijd de meest verstandige keuze.
Toestemming is maar een van de zes grondslagen
De AVG/GDPR kent 6 grondslagen. Alleen op basis van een van deze grondslagen mag je persoonsgegevens verwerken. Kun je niet een van deze grondslagen gebruiken, dan mag je de persoonsgegevens niet verwerken.
Toestemming staat weliswaar bovenaan, maar is eigenlijk meer een rest-grondslag, voor het geval je niet een van de andere grondslagen kunt gebruiken.
LawStories in je mailbox?
Gebruik geen toestemming als je een andere grondslag kunt gebruiken
Je mag namelijk niet van grondslag wisselen. Als je gegevens eenmaal op basis van de ene grondslag hebt verzameld, mag je niet later zeggen dat het je toch beter uitkomt op basis van een andere grondslag.
Toestemming kan en mag weer worden ingetrokken. Dan mag je vanaf dat moment die persoonsgegevens niet meer verwerken. Je kunt dan niet meer terugvallen op een van de andere grondslagen, ondanks dat je die persoonsgegevens misschien wel nog nodig hebt. Dat brengt je in de problemen.
Voorbeeld: toestemming en overeenkomst
Stel dat je met iemand een overeenkomst hebt en de persoonsgegevens nodig hebt voor de uitvoering van die overeenkomst. Al is het maar om een factuur te kunnen sturen of als webwinkel om een product op te kunnen sturen. Stel nou dat je hebt bedacht dat je aan al je klanten toestemming vraagt om hun persoonsgegevens te mogen verwerken. Vervolgens moet je een gepersonaliseerd product maken met een naam en geboortedatum of zoiets. Nadat de opdracht is gegeven en de factuur is betaald, trekt jouw klant de toestemming voor het verwerken van de persoonsgegevens in. Maar: dat gepersonaliseerde product moet nog gemaakt worden en daar heb je dus die naam en de geboortedatum voor nodig. Die mocht je alleen niet meer verwerken nadat die toestemming in was getrokken. Zonder die gegevens, kun je alleen ook niet meer aan de overeenkomst voldoen om dat gepersonaliseerde product te leveren. Dan heb je wel aan de AVG voldaan, maar is er ook sprake van wanprestatie. Tsja… Je mag niet alsnog overstappen op de grondslag noodzakelijk voor de uitvoering van de overeenkomst. Daarover heb je immers ook niet geïnformeerd. Dat is dus een probleem.
Kijk uit wat je met je laatste grondslag doet
Kortom: gebruik liever een van de andere grondslagen als je die mogelijkheid hebt. Op basis van zo’n andere grondslag kun je meestal de persoonsgegevens veel langer bewaren en ben je in elk geval minder afhankelijk van de grillen van de betrokkene (de persoon van wie de persoonsgegevens zijn).
Hulp bij AVG