Toestemming vragen voor verwerking: dit zijn de 3 spelregels

Vraag je jouw gebruikers toestemming voor het plaatsen van cookies met een vooraf aangevinkt selectievakje? Dan voldoe je niet aan de spelregels van de Algemene verordening gegevensbescherming (AVG). Vooraf aangevinkte selectievakken zijn geen geldige manier om te vissen naar toestemming voor het verwerken van persoonsgegevens. Dat was althans het advies van advocaat-generaal Maciej Szpunar aan het Hof van Justitie van de Europese Unie.

Planet49

Het advies was naar aanleiding van een rechtszaak tussen het Duitse internetbedrijf Planet49 en de Duitse consumentenorganisatie. Het bedrijf organiseerde een loterij waarbij deelnemers via een webformulier gegevens moesten achterlaten. In dat formulier was het vakje voor het plaatsen van cookies vooraf al aangevinkt.

Spelregels

Die manier van toestemming vragen is tegen de spelregels. Volgens de AVG moet toestemming voor verwerking van persoonsgegevens namelijk gebeuren volgens 3 principes:

1) Expliciet

Een expliciete toestemming is een toestemming waarvoor de gebruiker een actieve handeling moet verrichten. Bijvoorbeeld het aanvinken van een selectievakje. Die regel is er niet voor niets: het voorkomt dat gebruikers ondoordacht en/of ongemerkt akkoord gaan met zaken waar ze eigenlijk niet voor staan. Bij Planet49 was het selectievakje voor een akkoord al aangevinkt. Dat is dus de omgekeerde wereld, en daarmee tegen de regels.

2) Vrij

De gebruiker moet zijn keuze vrij kunnen maken. Websites die hun gebruikers volledig buitensluiten als ze niet akkoord gaan, zijn dan ook in overtreding. Die websites bieden namelijk geen echte keuze: het is simpelweg ‘akkoord gaan of wegwezen’.

Vorige week werd deze regel verduidelijkt door jurisprudentie. Websites die een cookiewall opwerpen, met andere woorden gebruikers toegang tot de site ontzeggen als ze geen cookies niet accepteren, zijn niet AVG-compliant.

3) Goed geïnformeerd

Het moet gebruikers volledig helder zijn wat de consequenties zijn van hun keuze, zowel bij het geven van toestemming voor het plaatsen van cookies als het weigeren daarvan. Planet49 brak ook met dit principe. Het was voor gebruikers nooit duidelijk dat deelname aan de loterij ook prima mogelijk was zonder de cookies te accepteren.

Overigens geldt bovenstaande niet alleen voor het toestemming geven voor het plaatsen van cookies. Alle verwerkingen van persoonsgegevens mogen alleen plaatsvinden na een toestemming die voldoet aan de bovenste 3 spelregels.

Uitspraak

Het is nog niet bekend wanneer het hof uitspraak in de zaak doet. Het mag het advies van de advocaat-generaal naast zich neerleggen, maar dat komt in de praktijk niet vaak voor.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.