Knowledge

Toestemming vragen: wanneer wel, wanneer niet?

Toestemming vragen: wanneer wel, wanneer niet?

Knowledge

De afgelopen maanden hebben veel organisaties voor van alles en nog wat toestemming gevraagd. Bij Jurato horen we echter ook situaties waarin dat helemaal niet nodig is. Er wordt soms veel teveel toestemming gevraagd. Wij zetten graag in hoofdlijn uiteen hoe het zit:

Hoofdlijn is dat verwerking van persoonsgegevens twee categorieën persoonsgegevens kent die je apart moet behandelen als het om toestemming gaat.

Categorie 1 betreft de GEWONE persoonsgegevens (naam, adres, contactgegevens, geboortedatum, foto, ID-bewijs etc).
Categorie 2 betreft de BIJZONDERE persoonsgegevens  (gezondheidsgegevens, ras, politieke voorkeur etc).

Gewone persoonsgegevens

Voor het mogen verwerken van persoonsgegevens – of die nu wel of niet bijzonder zijn – moet je volgens de AVG een wettelijke grondslag hebben. De AVG noemt er in de wet 6. Toestemming is (slechts) 1 van die 6 wettelijke grondslagen. Wij adviseren u om zoveel mogelijk verwerkingen (proberen) te baseren op een ANDERE grondslag dan toestemming. De reden daarvoor is dat toestemming heel kwetsbaar is, het kan immers de volgende dag weer worden ingetrokken. Een andere reden is dat het vragen om toestemming en het opslaan/bewaren van al die verkregen toestemmingen uw bedrijf heel veel tijd en administratieve rompslomp kost.

De zes wettelijke grondslagen zijn:

1. Toestemming
2. Uitvoering overeenkomst
3. Wettelijke plicht
4. Gerechtvaardigd bedrijfsbelang
5. Algemeen belang
6. Vitale belangen

Stelt u zich dus steeds deze vraag bij het verwerken van persoonsgegevens: waarom heb ik deze gegevens nodig?
Bijna alle reguliere bedrijfsactiviteiten kunnen gebaseerd worden op de grondslagen “uitvoeren van de overeenkomst” of “gerechtvaardigd (bedrijfs)belang” . En soms is verwerking een uitvloeisel van een wettelijke plicht. U werkt misschien in een bepaalde branche/sector die haar eigen (branche)wetten kent.

Voor reguliere correspondentie met bijvoorbeeld uw klanten/cliënten/patiënten hoeft dus geen toestemming gevraagd te worden. Zorg ervoor dat u goed kunt onderbouwen om welke reden u persoonsgegevens verwerkt. De AVG vraagt namelijk om verantwoording van wat u doet.

Bijzondere persoonsgegevens

De verwerking van bijzondere persoonsgegevens vraagt een verdergaande afweging. Die verwerking, vooral van belang bij medische informatie en strafrechtelijke gegevens, is volgens de AVG verboden TENZIJ…. En die “tenzij” is dan de afweging die u moet maken.

Voor het mogen verwerken van bijzondere persoonsgegevens moet u zich, net als bij de gewone persoonsgegevens, kunnen beroepen op 1 van de 6 wettelijke grondslagen EN op een wettelijke uitzondering. De AVG kent 10 uitzonderingen. De meest voorkomende uitzonderingen zijn:

  1. er is uitdrukkelijk toestemming gegeven voor de verwerking van de bijzondere persoonsgegevens;
  2. de verwerking is noodzakelijk voor doeleinden van preventieve of geneeskunde aard, zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg;
  3. de verwerking is noodzakelijk met het oog op het uitoefenen van specifieke rechten op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht;

Ook hier ziet u dus weer dat “Toestemming” slechts een van de uitzonderingen is. Werkt u bijvoorbeeld in de zorg en vraagt u zich af of u van al uw cliënten toestemming moet vragen om medische gegevens te verwerken, kijk dan goed naar de tweede uitzondering. Heeft u die medische gegevens nodig voor het verstrekken van gezondheidszorg, dan is het al goed. Toestemming van uw client is dan NIET nodig.

Wanneer is toestemming vragen dan WEL nodig?

Het vragen van toestemming is – kort gezegd – alleen nodig als u voor die bepaalde verwerking geen andere grondslag kunt vinden, als er een specifieke wet is die dit van u vereist, als u MEER gegevens opvraagt/verwerkt dan die echt nodig zijn voor het doel dat u ermee wilt dienen, of als u MEER wilt doen met de gegevens die u eigenlijk alleen maar hebt gekregen voor een ander doel. Deze beoordeling vinden veel mensen lastig, en daarom wordt ook vaak vanuit gemak en “better safe than sorry” om toestemming gevraagd voor van alles. Wat wij u willen aangeven is dat dit vaak helemaal niet nodig is, in ieder geval niet op grond van de AVG, dat is een misverstand.

Het vragen van toestemming voor het mogen vastleggen van medische gegevens in een EPD, of voor het digitaal doorsturen van medische gegevens aan anderen, is een ander vraagstuk. Dat gaat niet meer alleen om de AVG. U heeft hier te maken met specifieke wetten in een sector, in dit geval de zorgwetgeving. Voor het DIGITAAL mogen uitwisselen van medische gegevens over cliënten/patiënten gelden afzonderlijke wetten. De AVG en de Wet Geneeskundige Behandelingsovereenkomst zeggen daar niks over, die regelen alleen in algemene termen dat zorgverleners zorgvuldig met medische gegevens om moeten gaan. De verplichting om toestemming te vragen in de zorg vloeit niet voort uit de AVG maar uit de (recent in werking getreden) Wet Cliëntenrechten bij elektronische verwerking van gegevens. Deze wet geldt sinds 2017. Ten onrechte wordt nu vaak gezegd “de AVG verplicht ons om toestemming te vragen voor e-mail correspondentie”.

Wij hopen dat deze blog wat helderheid brengt. Heeft u vragen over de AVG of wilt u een specifieke situatie laten toetsen door een jurist, neem gerust contact met ons op.