Voorbeelden toestemming AVG
Onlangs hebben er vrij veel activiteiten plaatsgevonden gericht op het verkrijgen van toestemming. Websites zijn "cookiebanners" gaan vertonen. Bedrijven hebben e-mails verstuurd waarin ze gebruikers vragen of ze nog op de mailinglist willen staan. En zo kunnen we nog wel even doorgaan.
Dit komt allemaal door de Algemene Verordening Gegevensbescherming (AVG) van de EU, een privacywet die een hogere norm voor toestemming bepaalt dan veel bedrijven gewend zijn. Krachtens de AVG betekent toestemming ook echt toestemming. Bepaalde methodes die voorheen zijn gebruikt om toestemming te verkrijgen, gelden niet langer.
Laten we eens kijken hoe jouw bedrijf ervoor kan zorgen dat het op de juiste wijze en voor de juiste zaken toestemming krijgt.
- 1. Wat is de AVG?
- 1.1. Wie moet aan de AVG voldoen?
- 1.2. Wat dekt de AVG?
- 2. Hoe toestemming krachtens de AVG anders is
- 2.1. Impliciete toestemming
- 2.2. Expliciete toestemming
- 2.3. Vijf elementen van toestemming krachtens de AVG
- 2.4. Wanneer is toestemming vereist?
- 3. Hoe krijg je toestemming krachtens de AVG
- 3.1. Toestemming voor cookies
- 3.2. Toestemming voor het sturen van marketingmateriaal
- 3.3. Toestemming voor marketing van derde partijen
- 3.4. Het zesde element van toestemming - gemakkelijk intrekken
- 3.5. Toestemming op een mobiele app
- 4. Samenvatting - Toestemming verkrijgen krachtens de AVG
Wat is de AVG?
De AVG is bijna zeker de strengste privacywet ter wereld. Maar strikte privacy- en gegevensbeschermingswetten in de EU zijn niets nieuws. De Richtlijn inzake de bescherming van persoonsgegevens, een oudere privacywet die door de AVG wordt vervangen, en de ePrivacy-richtlijn, die ook wel de "cookiewet" wordt genoemd boden mensen in de EU al een grote mate van privacybescherming.
De AVG heeft met name een belangrijk effect gehad, deels omdat hij ook op bedrijven buiten de EU van toepassing is.
Wie moet aan de AVG voldoen?
De AVG is van toepassing op jouw bedrijf ongeacht of je in de EU gevestigd bent, zo lang als je:
- goederen en diensten aanbiedt aan personen in de EU. Dit staat los van het feit of je winst wilt maken.
- het gedrag controleert van personen in de EU. Dit kan betekenen het "profileren" van personen - proberen te voorspellen hoe ze zouden kunnen handelen op basis van observaties van hun gedrag in het verleden. Dit komt in feite zeer veel voor, want het is wat veel reclamecookies doen.
Wat dekt de AVG?
Telkens wanneer jouw bedrijf persoonsgegevens verwerkt, moet het aan de AVG voldoen. Bedrijven verwerken elke dag persoonsgegevens.
"Persoonsgegevens" zijn gegevens die kunnen worden gebruikt om een persoon te identificeren. Als je je afvraagt of iets onder persoonsgegevens valt, kun je er vanuit gaan dat dat waarschijnlijk het geval is.
Zo heeft de hoogste rechtbank in de EU bepaald dat, bijvoorbeeld, dynamische IP-adressen persoonsgegevens vormen. De reden is dat een dynamisch IP-adres theoretisch gecombineerd kan worden met andere informatie om een persoon te identificeren. Dit geldt ook voor bepaalde cookies.
"Verwerking" van persoonsgegevens betekent dat je er iets mee doet. Ook hier geldt, dat als je twijfelt of iets als verwerking kan worden beschouwd, de kans groot is dat dit het geval is.
Nog los van vanzelfsprekende zaken zoals het vastleggen van betaalgegevens of het samenstellen van een mailinglist, kan een actie zoals het opslaan van het IP-adres van een persoon in de logboekbestanden van je webserver, ook "verwerking van persoonsgegevens" vormen.
Hoe toestemming krachtens de AVG anders is
De meeste privacywetten kennen twee soorten toestemming: impliciet en expliciet.
Deze kunnen verschillende namen hebben. Zo wordt in het commerciële e-mailrecht van de Australische Spam Act 2003 impliciete toestemming "afgeleide toestemming" genoemd. En in de Verenigde Staten, noemt de CAN-SPAM privacywet expliciete toestemming "affirmatieve toestemming."
Hoewel de meeste privacywetten beiden soorten toestemming kennen, bestaat impliciete toestemming niet in de AVG. Het is krachtens de AVG veel moeilijker om aan te tonen dat je toestemming van een klant hebt dan krachtens andere privacywetten.
Impliciete toestemming
In essentie betekent "impliciete toestemming" dat je reden hebt om aan te nemen dat een persoon zijn toestemming zou geven als hij of zij erom zou worden gevraagd.
Impliciete toestemming kan mogelijk bestaan in een relatie tussen een klant en een bedrijf. Als iemand regelmatig producten van een bedrijf koopt, kan dit bedrijf redelijkerwijs geloven dat die persoon erin heeft toegestemd om marketingmails van hen te ontvangen. Het bedrijf moet de klant echter bijna altijd een mogelijkheid bieden om dergelijke communicatie te "weigeren" via een afmeldmiddel.
Bijvoorbeeld in de Anti-Spam Law (CASL) van Canada, een Canadese privacywet, bestaat impliciete toestemming automatisch onder bepaalde omstandigheden. De Canadese overheid legt dit uit op haar website:
Expliciete toestemming
Expliciete toestemming is wat "toestemming" betekent krachtens de AVG. Je vraagt personen om toestemming, zij begrijpen de vraag en de implicaties en maken een echte keuze.
De spamwet in de Unsolicited Electronic Messages Act 2007 van Nieuw-Zeeland erkent zowel expliciete als impliciete toestemming. Dit is hoe het Ministerie van Interne Zaken van Nieuw-Zeeland expliciete toestemming om commerciële e-mails te sturen kenmerkt:
Vijf elementen van toestemming krachtens de AVG
Artikel 4 van de AVG definieert toestemming als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige ... ondubbelzinnige actieve handeling" waarmee een persoon toestemming geeft voor de verwerking van hun persoonsgegevens op een bepaalde manier.
We kunnen dat in vijf elementen opsplitsen:
- Vrij - de persoon mag niet onder druk worden gezet om toestemming te geven of nadelige gevolgen ondervinden als hij of zij weigert.
- Specifiek - de persoon moet worden gevraagd om toestemming te geven voor individuele soorten gegevensverwerking.
- Geïnformeerd - de persoon moet worden verteld waar hij of zij toestemming voor geeft.
- Ondubbelzinnig - taal moet helder en eenvoudig zijn.
- Ondubbelzinnige actieve handeling - de persoon moet uitdrukkelijk toestemming geven door iets te doen of zeggen.
Als je een van deze vijf elementen mist, heb je geen toestemming krachtens de AVG.
Wanneer is toestemming vereist?
Een van de mythen die over de AVG de ronde doen is dat de AVG toestemming vereist voor elke soort gegevensverwerking. Dit is niet juist.
De AVG is slechts één van de zes rechtsgrondslagen voor het verwerken van persoonsgegevens die de AVG bepaalt. Ze worden samengevat door de Information Commissioner's Office (de Britse gegevensbeschermingsautoriteit):
Over het algemeen gesproken, hoef je niet om toestemming te vragen als:
- je een kerndienst uitvoert (gebruik in plaats daarvan een contract).
- je bij wet vereist bent om persoonsgegevens te verwerken (wettelijke verplichting).
- je persoonsgegevens verwerkt ten behoeve van je bedrijf of anderen op een manier die je gebruikers redelijkerwijs zouden verwachten, met minimaal risico voor en invloed op individuen (gerechtvaardigde belangen).
Je moet om toestemming vragen als je een daadwerkelijke keus aanbiedt voor een niet-essentiële dienst. Typische voorbeelden zijn:
- Het gebruik van tracking-/reclamecookies
- Het verzenden van marketingmails of nieuwsbrieven
- Het delen van persoonsgegevens met andere bedrijven voor commerciële doeleinden
Hoe krijg je toestemming krachtens de AVG
Je moet de vijf elementen van toestemming implementeren telkens als je om toestemming van je gebruikers vraagt.
Toestemming voor cookies
Sinds de invoering van de AVG, zijn er veel cookiebanners verschenen. Vele daarvan zouden prima zijn krachtens een systeem dat "impliciete" toestemming toestaan, maar onthoud - de AVG erkent alleen expliciete toestemming.
En dan zijn er cookiebanners die bijna om toestemming vragen, maar toch tekort komen zoals dit voorbeeld van het Southbank Centre:
In dit voorbeeld wordt niet eens om toestemming gevraagd en cookies worden standaard geplaatst. Gebruikers worden doorverwezen naar meer informatie, die hun vertelt hoe ze cookies kunnen weigeren.
Maar onthoud de vijf elementen. Met deze aanpak wordt toestemming niet vrij gegeven. En het is ook niet ondubbelzinnig, of verstrekt via een ondubbelzinnige actieve handeling.
Een beter voorbeeld is deze cookievermelding van de Europese Centrale Bank:
Alle vijf elementen zijn aanwezig. Toestemming:
- wordt vrij gegeven - er is nadruk op "accepteren" of "niet accepteren".
- is geïnformeerd - de gebruiker wordt de reden verteld voor de verwerking en uitgenodigd meer informatie te lezen.
- is ondubbelzinnig - de taal is helder en gemakkelijk te begrijpen.
- is specifiek - de gebruiker wordt alleen uitgenodigd om toestemming te geven voor één soort gegevensverwerking.
- wordt verkregen via een ondubbelzinnige, actieve handeling - de gebruiker moet "Ik begrijp en ik accepteer" aanklikken.
Merk op dat een extra selectievakje "Akkoord" niet vereist is. Eén klik is genoeg voor één toestemmingsverzoek.
Het is een vrij eenvoudig geval, aangezien de website van de Europese Centrale Bank alleen zeer basale cookies gebruikt. Hieronder volgt een voorbeeld van Experian hoe je specifieke toestemming voor verschillende soorten cookies kunt vragen:
Je moet je gebruikers op de hoogte stellen van het gebruik van cookies in je privacybeleid (of je cookiebeleid). Dit is hoe Makermet de verschillende soorten cookies die het gebruikt uitlegt:
Onthoud dat toestemming niet alleen gaat over wat je zegt, maar ook wat je doet. Stuur geen reclamecookies tenzij jouw gebruikers daarvoor toestemming hebben gegeven.
Toestemming voor het sturen van marketingmateriaal
De AVG moet het eind betekenen van het vooraf aangevinkte vakje, een tactiek die jarenlang door bedrijven is gebruik in de hoop dat met een trucje abonnees zich onbedoeld voor hun mailinglist zouden opgeven.
Het lijkt misschien dat er slechts een vrij klein verschil bestaat tussen iemand vragen om een vinkje in een vakje te plaatsen en iemand te vragen om een vinkje uit een vakje te verwijderen. Echter, "verzuim om een vinkje uit een vakje te verwijderen" is niet in overeenstemming met een van de vijf elementen krachtens de AVG. Dit kan daarom niet worden gebruikt om aan te tonen dat je de goedkeuring van een persoon hebt.
Je kunt gemakkelijk de vijf elementen van toestemming volgens de AVG implementeren als je mensen vraag om zich voor je mailinglist op te geven. Dit is een voorbeeld van Dynastar:
Hoe verhoudt zich dit met de vijf elementen?
- Vrij gegeven - gebruikers hebben een duidelijke keus of ze hun e-mailadres willen geven.
- Geïnformeerd - gebruikers wordt de reden verteld voor de verwerking, hoewel het woord "marketing" in de kleine lettertjes staat. Gebruikers worden uitgenodigd om het privacybeleid van Dynastar te lezen.
- Ondubbelzinnig - de taal is helder en gemakkelijk te begrijpen.
- Specifiek - het zou helderder kunnen zijn dat de nieuwsbrief een vorm van marketing is, maar dat is een klein punt.
- Verkregen via een ondubbelzinnige, actieve handeling - het invoeren van hun e-mailadres en het klikken op "aanmelden voor nieuwsbrief" vormen een ondubbelzinnige, actieve handeling.
Dit is een redelijk goed voorbeeld van een aanmeldingsmechanisme voor een mailinglist.
Hier volgt een ander voorbeeld van Cooper Vision: Ten eerste wordt gebruikers precies verteld waar ze zich voor aanmelden:
Daarna wordt gebruikers keuzes geboden over hoe zij de informatie willen ontvangen:
Het verzoek om toestemming van Cooper Vision voldoet gemakkelijk aan de eisen van de AVG.
Vaak wordt toestemming voor het sturen van marketingmateriaal verkregen als gebruikers zich aanmelden voor andere diensten of op een andere manier contact met jouw bedrijf hebben. Dit is een voorbeeld van Protect Your Gadget: Op dit moment, staat de gebruiker op het punt zich aan te melden voor het ontvangen van een offerte voor een verzekering:
Zo lang het duidelijk is dat dit een aparte optie is en het standaardantwoord "nee" is, is er geen probleem. Een probleem doet zich voor als gebruikers zich aanmelden voor marketingmateriaal zonder dat ze zich dit realiseren of dit actief hebben gedaan.
Wat dat betreft is het ook een goede methode om een "dubbele aanmelding" in te voeren, waarmee gebruikers worden gevraagd hun aanmelding te bevestigen via een validatiemail. Dit is een voorbeeld van Textbroker:
Toestemming voor marketing van derde partijen
Er zijn twee manieren waarop je je gebruikers in contact met marketing van andere bedrijven kunt brengen. Je kunt hen wellicht marketingmateriaal van derden rechtstreeks toezenden, of hun contactgegevens met andere bedrijven delen.
Geen van beide is verboden krachtens de AVG. Maar zoals bij alle aspecten van gegevensverwerking, moet je duidelijk en transparant zijn. Je moet bijna altijd toestemming vragen voor deze doeleinden.
Je mag je toestemmingsverzoek voor het delen van persoonsgegevens niet met andere toestemmingsverzoeken bundelen. Bekijk dit toestemmingsverzoek van Escapio:
Gebruikers wordt verteld dat ze zich aanmelden voor "onze Escapio's tips en aanbiedingen". Maar als je door de pagina naar beneden scrolt, wordt meer duidelijk:
Gebruikers ontvangen marketinginformatie, hotelaanbevelingen en competities van derden - meer dus dan alleen maar "tips en aanbiedingen" van Escapio. Toestemming voor al deze zaken is in één verzoek gebundeld. Dit lijkt niet te voldoen aan de eis dat toestemming "specifiek" is.
Dit is een voorbeeld van een ongebundeld toestemmingsverzoek van Steam Railway:
Dit zijn drie verschillende doelen waarvoor het e-mailadres van de gebruiker wordt gebruikt. Daarom is het gepast om op drie verschillende manieren met drie verschillende selectievakjes om toestemming te vragen.
Dit is een ander voorbeeld van ongebundelde toestemmingsverzoeken van Alfa Romeo:
Dit is een goed voorbeeld van toestemming die vrij gegeven, geïnformeerd, specifiek, ondubbelzinnig is, en via een ondubbelzinnige actieve handeling wordt verstrekt.
Het zesde element van toestemming - gemakkelijk intrekken
De AVG schrijft een zesde element voor: toestemming moet gemakkelijk in te trekken zijn.
Natuurlijk moet je een afmeldingsvoorziening in je marketingmails opnemen. Dit is hoe Hermes dat doet:
Andere middelen om toestemming in te trekken, moeten duidelijk worden uitgelegd in jouw privacybeleid. Dit is hoe Bauer Publishing dat doet:
Cookies kunnen vaak worden beheerd via een "cookiemanager" Dit is een voorbeeld van Onedox:
Merk op dat veel van deze instellingen standaard op "uit" moeten staan.
Toestemming op een mobiele app
De beginselen voor het verkrijgen van toestemming zijn dezelfde voor mobiele apps als voor enig ander medium.
Dit is een voorbeeld van een toestemmingsverzoek van de mobiele app van Swiftkey:
Swiftkey beweert toestemming te verkrijgen als de gebruiker de app installeert. De installatie van de app is vermoedelijk niet ondubbelzinnig of een ondubbelzinnige, actieve handeling die noodzakelijkerwijs toestemming toont.
Dit hoeft geen probleem te zijn, als de app geen informatie zou verzamelen die wordt gebruikt voor gerichte reclame (waar specifieke toestemming voor nodig is). Een kijkje in de privacyverklaring van Swiftkey (uitgevoerd door Microsoft), geeft aan dat idealiter specifieke toestemming moet worden gevraagd, omdat de verzamelde informatie wordt gebruikt voor gerichte reclame.
Het komt veel voor op mobiele apps dat informatie zoals locatiegegevens mogelijk voor niet-essentiële diensten worden verzameld. Je moet je gebruikers hier enige controle over geven. Dit is een goed voorbeeld van geïnformeerde toestemming van Google:
Samenvatting - Toestemming verkrijgen krachtens de AVG
Toestemming die betekenisvol is krachtens de AVG, moet het volgende zijn:
- Vrij gegeven - probeer je gebruikers niet met een 'trucje' toestemming te ontfutselen. Onthoud ze geen andere diensten als ze ervoor kiezen geen toestemming te geven.
- Specifiek - als je de toestemming van een persoon voor meerdere doeleinden wilt verwerken, moet je voor elke soort verwerking toestemming vragen.
- Geïnformeerd - geef duidelijke informatie over waarvoor de toestemming van gebruikers wordt gevraagd en wat ze moeten doen als ze van gedachten veranderen.
- Ondubbelzinnig - gebruik heldere en eenvoudige taal en geef een duidelijke keuze.
- Gegeven via een ondubbelzinnige, actieve handeling - neem nooit aan dat je de toestemming van gebruikers hebt totdat ze actief met iets hebben ingestemd.
En tot slot, zodra je de toestemming van gebruikers hebt, moet je het gemakkelijk voor hen maken om die toestemming in te trekken.