Toestemming binnen de AVG? No Way!

Pfoeh, die AVG, wat een gedoe he? Nou ja, gewoon bij alles om toestemming vragen, dan heb je het goed geregeld toch? Maar toestemming is helemaal niet altijd de meest verstandige keuze.

Toestemming is maar een van de zes grondslagen

De AVG/GDPR kent 6 grondslagen. Alleen op basis van een van deze grondslagen mag je persoonsgegevens verwerken. Kun je niet een van deze grondslagen gebruiken, dan mag je de persoonsgegevens niet verwerken.

Toestemming staat weliswaar bovenaan, maar is eigenlijk meer een rest-grondslag, voor het geval je niet een van de andere grondslagen kunt gebruiken.

Gebruik geen toestemming als je een andere grondslag kunt gebruiken

Je mag namelijk niet van grondslag wisselen. Als je gegevens eenmaal op basis van de ene grondslag hebt verzameld, mag je niet later zeggen dat het je toch beter uitkomt op basis van een andere grondslag.

Toestemming kan en mag weer worden ingetrokken. Dan mag je vanaf dat moment die persoonsgegevens niet meer verwerken. Je kunt dan niet meer terugvallen op een van de andere grondslagen, ondanks dat je die persoonsgegevens misschien wel nog nodig hebt. Dat brengt je in de problemen.

Voorbeeld: toestemming en overeenkomst

Stel dat je met iemand een overeenkomst hebt en de persoonsgegevens nodig hebt voor de uitvoering van die overeenkomst. Al is het maar om een factuur te kunnen sturen of als webwinkel om een product op te kunnen sturen. Stel nou dat je hebt bedacht dat je aan al je klanten toestemming vraagt om hun persoonsgegevens te mogen verwerken. Vervolgens moet je een gepersonaliseerd product maken met een naam en geboortedatum of zoiets. Nadat de opdracht is gegeven en de factuur is betaald, trekt jouw klant de toestemming voor het verwerken van de persoonsgegevens in. Maar: dat gepersonaliseerde product moet nog gemaakt worden en daar heb je dus die naam en de geboortedatum voor nodig. Die mocht je alleen niet meer verwerken nadat die toestemming in was getrokken. Zonder die gegevens, kun je alleen ook niet meer aan de overeenkomst voldoen om dat gepersonaliseerde product te leveren. Dan heb je wel aan de AVG voldaan, maar is er ook sprake van wanprestatie. Tsja… Je mag niet alsnog overstappen op de grondslag noodzakelijk voor de uitvoering van de overeenkomst. Daarover heb je immers ook niet geïnformeerd. Dat is dus een probleem.

Kijk uit wat je met je laatste grondslag doet

Kortom: gebruik liever een van de andere grondslagen als je die mogelijkheid hebt. Op basis van zo’n andere grondslag kun je meestal de persoonsgegevens veel langer bewaren en ben je in elk geval minder afhankelijk van de grillen van de betrokkene (de persoon van wie de persoonsgegevens zijn).

Hulp bij AVG

Leuke dingen voor je mailbox

About Charlotte Meindersma

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.

Comments

  1. In onze beroepsgroep zijn veel pedicures aan elke klant toestemming aan het vragen voor het opslaan van hun gegevens. Nu ik bovenstaande lees, is dit dus niet nodig? Aangezien de gegevens dienen voor facturen, (wettelijke verplichting) en hun gezondheid (vitale belangen). Is het dan voldoende wanneer ik mijn klanten informeer dat ik om bovenstaande redenen hun gegevens opsla, bijv door het meegeven van een A4tje, met daarin tevens een link naar de Privacyverklaring op mijn website?
    Dit bericht schept veel onduidelijkheid, omdat wij tot nu toe dachten, vanuit de Avg altijd toestemming te moeten vragen voor het opslaan van gevoelige persoonsgegevens.

    • Ik zou inderdaad juist geen toestemming vragen. Belangrijk is vooral om een goede privacyverklaring te hebben. Daarin kun je melden dat je bepaalde gegevens zult bewaren vanwege de wettelijke verplichting (Belastingdienst, 7 jaar) en andere gegevens (wellicht deels overlappend) voor de uitvoering van de overeenkomst (persoonsgegevens + medische gegevens/gegevens betreffende de behandelingen). Er zal niet zo heel snel gebruik gemaakt kunnen worden van de grondslag vitaal belang, omdat de grondslagen wettelijke verplichting en noodzakelijk voor de uitvoering van de overeenkomst alles al zullen dekken.

  2. Goedemiddag,
    Ik heb een prive website, hierop staan blogs en foto´s van mijzelf.
    De site draait onder WordPress en staat bij een Nederlands hosting bedrijf,
    Ik heb een paar plug-inns, zoals o.a. Wordfence, Aksimet, Yoast SEO en Slimstat draaien, ik sla geen persoonsgegevens op en geef ook geen nieuwsbrieven uit.
    Maar IP adressen worden natuurlijk gebruikt door bovenstaande plug-inns en ook als mensen reageren op een blog slaat WordPress het IP adres op.
    Ik heb geen co-auteur, aanmelden voor anderen is niet mogelijk en e-mailadressen vraag ik niet om.
    Op welke manier moet ik nu als prive persoon voldoen aan de nieuwe wetgeving ?

    • Beste Albert, waar een blogger allemaal aan moet voldoen heb ik opgenomen in een specifieke blogpost over de AVG voor bloggers. Ik hoop daar al je vragen beantwoord te hebben.

      • Dank je wel Charlotte.
        Een stuk duidelijker.
        Ik schakel mijn statistiekprogramma uit, dan ben ik daar in ieder geval vanaf.
        Voor mij blijven dan over de IP adressen, maar dat is dan ook meteen een groot probleem. Vrijwel elk beveiligingsprogramma kijkt al naar het IP adres en deze worden meestal ook ergens opgeslagen, vaak buiten Europa.
        Ook WordPress slaat het IP adres op als iemand reageert. Dit is eventueel via een omweg te voorkomen, maar alle oude IP adressen moeten uit de WordPress database van de site verwijderd worden.
        Vriendelijke groet,
        Albert

  3. Hoi Charlotte,

    met de voorbereidingen naar de AVG wet ben ik op jou site en blogs uitgekomen. Fijn de informatie die begrijpelijk te lezen is! Ik zag net al dat er al iemand uit de beautybranche had gereageerd, een pedicure. In de Nagelstyling branche is er helaas ook veel onduidelijkheid. Dit is een vrij beroep en wij hebben niet zoals medische pedicure adres gegevens nodig om met zorgverzekeraars de vergoeding te regelen voor de behandeling. Voor de behandeling op zich zijn de gegevens denk ik ook niet nodig. Op medische gegevens na zoals allergieën, eventuele huid aandoeningen ivm het gebied de handen waarmee wij werken en de producten die noten of andere materialen kan bevatten waar allergisch op gereageerd kan worden. (Hiervoor had ik begrepen dat ik zo wie zo schriftelijk of digitaal toestemming nodig heb om deze gegevens te mogen noteren) Dus voor de overige contact gegevens naw-gegevens geboortedatum tel. en email dan zou ik op de grondwet toestemming vragen terecht komen.

    Ik had al wel begrepen als een klant meerdere behandelingen vooruit plant je kan terugvallen op de grondslag Overeenkomst (van dienst), wanneer ik een behandeling moet verplaatsen zal ik toch contact gegevens nodig hebben. Enkel weet je niet direct of iemand vooruit plant als ze de eerste keer komen. Maar zelfs als iemand de eerste keer al belt, zal ik een persoon moeten kunnen bereiken in het geval dat er omstandigheden zijn.

    Na deze blog loop ik er tegen aan, stel dat iemand de eerste behandeling komt en niet betaald einde van de behandeling of stel dat iemand helemaal niet komt op de afspraak dan moet ik gegevens hebben (gebaseerd op een grondslag) om er eventueel een factuur er achter aan te kunnen sturen. En als iemand toestemming zou intrekken en de volgende behandeling niet betaald. Ik kan dus niet tussendoor wisselen van grondslag, dan kan ik dus eigenlijk niks? Of zie ik dit helemaal fout.? eigenlijk mijn vraag mag ik bij het begin van de eerste behandeling de gegevens al noteren gebaseerd op de grondslag “Overeenkomst(van dienst)”.

    • Toevallig hebben wij ook al uitgebreider geblogd over alle 6 de grondslagen. Lees vooral ook eens deze blog door.

      Nu is het mij niet duidelijk waarom er volgens jou bij een eerste behandeling geen overeenkomst zou kunnen zijn.
      Jij maakt immers met jouw klanten de afspraak om op een bepaald tijdstip (al dan niet tegen betaling) een bepaalde behandeling te doen. Dat lijkt mij ook een overeenkomst tussen jou en die klant. Het sturen van een factuur valt vervolgens ook onder de uitvoering van een overeenkomst.

      • Hoi Elske,

        Dank je wel voor je reactie. Het zelfde idee had ik namelijk ook, dat er eigenlijk al een soort overeenkomst is, zeker bij stylistes die uitsluitend op afspraak werken zoals ikzelf.

        Enkel om de nagels daad werkelijk te behandelen zijn in principe de “gewone” gegevens niet nodig dacht ik zo, enkel voor eventuele administratie er omheen. Dus daar raakte ik onzeker over. Maar ik denk zo hoe jij het omschrijft, dat ik en collega’s voldoende redenen hebben om de gegevens te mogen vragen. Wel zouden wij dan nog wel schriftelijk toestemming moeten hebben voor de medische gegevens? Bijvoorbeeld in vorm van een hokje die klanten zullen moeten aankruisen met toestemming lijkt mij zo? 🙂

  4. Hoi Elske,

    Dank je wel voor je reactie. Het zelfde idee had ik namelijk ook, dat er eigenlijk al een soort overeenkomst is, zeker bij stylistes die uitsluitend op afspraak werken zoals ikzelf.

    Enkel om de nagels daad werkelijk te behandelen zijn in principe de “gewone” gegevens niet nodig dacht ik zo, enkel voor eventuele administratie er omheen. Dus daar raakte ik onzeker over. Maar ik denk zo hoe jij het omschrijft, dat ik en collega’s voldoende redenen hebben om de gegevens te mogen vragen. Wel zouden wij dan nog wel schriftelijk toestemming moeten hebben voor de medische gegevens? Bijvoorbeeld in vorm van een hokje die klanten zullen moeten aankruisen met toestemming lijkt mij zo? 🙂

    • Het verwerken van zogenaamde ‘bijzondere’ persoonsgegevens (dat zijn gevoelige gegevens), zoals medische gegevens is in principe verboden. De AVG geeft 10 uitzonderingen daarop. Als je aan een van die uitzonderingen voldoet, dan mag je ze verwerken. Één van die uitzonderingen is inderdaad uitdrukkelijke toestemming. Dat is een strengere vorm van toestemming dan de ‘normale’ toestemming.

      Zorg er dus voor dat er geen twijfel kan zijn dat de toestemming is gegeven voor die specifieke verwerking van de gegevens. Daarnaast moet je bijvoorbeeld ook altijd zorgen dat je alle verplichte informatie verstrekt, bijvoorbeeld via je privacyverklaring.

  5. Hoi Elske,

    Ik heb ook een vraag, wij zijn een stichting activiteiten organiseert voor kinderen met een beperking. dit doen wij in de meeste gevallen ism andere organisaties (bv een zwembad of manege) wij verzorgen de aanmeldingen en overige partij voert meestal uit (ism onze vrijwilligers). Bij aanmelding vragen wij om meerdere gegevens, zoals naw, leeftijd en gegevens zoals rolstoelafhankelijk of er extra hulpmiddelen nodig zijn ,bij de activiteit zelf betalen deelnemers meestal contant een eigen bijdrage.
    kunnen wij het opgeven voor een activiteit zien als een overeenkomst, ? en deze grondslag gebruiken?
    En voor het verwerken van gegevens over aard beperking en hulpmiddelen vermelden dat we voor deze gegevens altijd nadrukkelijk toestemming vragen en deze alleen gebruiken voor het organiseren van de activiteit.
    Daarbij werken we ook met vrijwilligers. Hoe staat het met de gegevens van vrijwilligers die met ons werken? moeten we een overeenkomst met hen opstellen? en als we VOG voor hen opvragen?
    Alvast bedankt voor je reactie!
    Mariette Coops

  6. Ik heb een vraag,

    Moet voor het gebruik/verwerken van persoonsgegevens van minderjarigen (jonger dan 16 jaar) aan de beide ouders toestemming worden gevraagd of hoeft maar een ouder de toestemming te verlenen? en hoe geldt dit voor kinderen van gescheiden ouders??

Speak Your Mind

*