AVG: toestemming verzamelen persoonsgegevens verplicht?

Een veelgehoorde stelling is: “Voor het verzamelen en verwerken van persoonsgegevens moet je altijd eerst schriftelijke toestemming vragen aan de klant.” Is dit inderdaad zo? En wat betekent dit voor jouw dagelijkse adviespraktijk?

Verwerkingsgrondslagen

Het verzamelen van persoonsgegevens moet altijd gebaseerd zijn op één van de zes zogenaamde ‘verwerkingsgrondslagen’:

1. Vastgelegde toestemming van de klant voor een specifiek doeleinde.
2. Noodzaak voor het opstellen en uitvoeren van een overeenkomst.
3. Noodzaak om te voldoen aan wettelijke verplichtingen.
4. Noodzaak om vitale belangen van de klant of andere natuurlijke personen te beschermen.
5. Een gerechtvaardigd belang van de organisatie of een derde.
6. Het vervullen van een taak waarmee het algemeen belang gediend wordt.

Toestemming van de klant

Het vastleggen van toestemming van de klant voor een specifiek doeleinde is dus slechts één van de zes verwerkingsgrondslagen. En ook meteen de meest complexe. De wetgeving schrijft namelijk voor dat:

1. Je het doel waarvoor je de persoonsgegevens verzamelt duidelijk moet omschrijven.
2. Je moet aangeven vanuit welke grondslag je de persoonsgegevens vastlegt.
3. Er geen verdere verwerkingen van de persoonsgegevens mogen plaatsvinden voor onverenigbare doeleinden (de wet heeft het hier over ‘doelbinding’).

Overige verwerkingsgrondslagen

Binnen de financiële dienstverlening worden persoonsgegevens veelvuldig verzameld voor een van de overige verwerkingsgrondslagen. Denk hierbij bijvoorbeeld aan de tweedeverwerkingsgrondslag: de noodzaak voor het opstellen en uitvoeren van een overeenkomst. Voor het verzamelen van de hiervoor benodigde persoonsgegevens is geen schriftelijke toestemming van de klant nodig. Een overeenkomst is en blijft namelijk ook onder de nieuwe privacywetgeving een geldige grondslag voor het verzamelen en verwerken van persoonsgegevens.

Ook voor het verzamelen en verwerken van persoonsgegevens op basis van de vijfde verwerkingsgrondslag, het gerechtvaardigd belang, is geen toestemming van de klant nodig. Er is sprake van gerechtvaardigd belang als de bedrijfsactiviteiten niet goed zijn uit te oefenen zonder het verwerken van persoonsgegevens. Deze voor de bedrijfsvoering essentiële verwerkingen, zijn zelfs bij voorkeur niet op toestemming gebaseerd. De klant mag zijn toestemming namelijk te allen tijde zonder opgaaf van redenen intrekken. Bovendien is de keuze van het gerechtvaardigd belang als verwerkingsgrondslag wel zo plezierig voor de klant. Het vragen naar toestemming legt de juridische afweging namelijk bij de klant. En die is vaak helemaal niet in de positie is om alle gevolgen en eventuele risico’s van de verwerking te overzien.

Verwerkingsregister, data minimalisatie en bewaartermijn

Ongeacht de verwerkingsgrondslag ben je als gegevensverantwoordelijke verplicht om in een zogenaamd ‘verwerkingsregister’ vast te leggen met wie je de verzamelde persoonsgegevens deelt. Ook moet je vastleggen dat je de gegevens deelt binnen de juridische kaders van de af te sluiten verwerkingsovereenkomsten met de partijen waarmee je de persoonsgegevens deelt.

Daarnaast verplicht de nieuwe privacywet je om bij het verzamelen van persoonsgegevens in alle gevallen twee belangrijke uitgangspunten in acht te nemen:

1. Dataminimalisatie: je mag enkel de minimale dataset verzamelen die je nodig hebt om je werk te doen. Je mag dus geen overbodige data verzamelen.
2. Bewaartermijn: je mag persoonsgegevens niet langer bewaren dan noodzakelijk. Gedurende de looptijd van een overeenkomst is het doorgaans geen probleem om de persoonsgegevens te bewaren. Maar heb je voor bijvoorbeeld de acceptatie van een levensverzekering medische gegevens nodig? Dan kun je jezelf de vraag stellen in hoeverre je deze gegevens nog nodig hebt ná acceptatie. Het antwoord hierop kan per situatie verschillen.

Toestemming vragen: niet altijd nodig!

In tegenstelling tot wat je nogal eens leest, is het in een aantal situaties dus niet nodig om toestemming te vragen aan de klant. Of is het zelfs juist aan te bevelen om hierin terughoudend te zijn.

Het is belangrijk om een goede belangenafweging te maken rondom de verwerkingsgrondslag waarop je persoonsgegevens verzamelt. Dit doe je door de uitvoering van een Privacy Impact Assessment (PIA). Deze gestandaardiseerde aanpak die veelal wettelijk verplicht is, vormt de basis van een goed privacybeleid.