De AVG en RT, heb je wel echt toestemming?

Geschreven op

In mijn eerste blog uit deze reeks over de AVG schreef ik dat er 6 grondslagen zijn op basis waarvan je persoonsgegevens mag verwerken. Voor mij zijn de 3 belangrijkste grondslagen overeenkomst, gerechtvaardigd belang en toestemming. Met (de ouders van) mijn leerlingen heb ik een overeenkomst, dus hun gegevens mag ik verwerken wanneer dit voor de begeleiding noodzakelijk is. Maar wanneer ik van hen bijzondere persoongegegevens wil verwerken, zoals informatie over hun gezondheid, heb ik daar uitdrukkelijke toestemming voor nodig. Dat betekent dus dat ik al toestemming nodig heb wanneer ik in mijn anamnese iets wil vermelden over medicijngebruik of problemen met hun gehoor of zicht. 

Bij verwerking van de gegevens van kinderen van jonger dan 16 jaar geldt dat je (ook) toestemming moet hebben van de ouders.

Hetzelfde geldt wanneer ik de veel persoonlijke gegevens van de leerkracht van de leerling ergens verwerk. Bij de leeromgeving van Mijn Superkracht maak ik gebruik van een SMS-code bij het inloggen. Dat is extra veilig, maar betekent wel dat ik het mobiele telefoonnummer van de leerkracht ga verwerken. Omdat ik dat best een inbreuk vind op diens privacy, vraag ik hier toestemming voor. En aan die toestemming worden in de AVG eisen gesteld, het is niet voldoende wanneer de ouder me zegt dat ik die gegevens mag gebruiken.

In dit blog vertel ik je meer over die eisen, maar eerst nog even de bekende disclaimer: ik ben geen jurist en dit blog is geen juridisch advies. Wanneer je zeker wilt weten of jouw manier van toestemming vragen voldoet aan de eisen die de AVG daar aan stelt, kun je een jurist om advies vragen.

Eisen die gesteld worden aan de toestemming

Als je gegevens verwerkt op basis van toestemming worden de volgende eisen gesteld aan de toestemming:

Vrijelijk gegeven

Je mag geen druk uitoefenen om de toestemming te geven en dus ook niet dreigen om iemand anders te gaan behandelen als die geen toestemming geeft.

Ondubbelzinnig

De toestemming moet in een actieve handeling gegeven zijn waarbij het volkomen duidelijk is dat er toestemming gegeven is. Hierbij geldt dus dat het vakje om toestemming te geven niet standaard aangevinkt mag zijn en dat je ook niet mag stellen dat je de gegevens verwerkt tenzij een betrokkene aangeeft bezwaar te hebben. 

Geïnformeerd

Het moet de betrokkenen volkomen duidelijk zijn dat ze toestemming geven, aan wie ze de toestemming geven, om welke gegevens het gaat en hoe ze de toestemming weer in kunnen trekken.

Specifiek

Er wordt toestemming gegeven voor een specifiek doel en een specifieke verwerking. Je mag dit niet later veranderen zonder nogmaals toestemming te vragen. En wil je gegevens op verschillende manieren of met verschillende doelen verwerken, dan moet je voor alle verwerkingen en doelen toestemming vragen

Makkelijk in te trekken

Het intrekken van de toestemming is net zo makkelijk als het geven ervan was. Dus als ze de toestemming kunnen geven door een vinkje in een vakje te zetten of door op een link te klikken, is het belangrijk dat het intrekken net zo snel gedaan kan worden. Zou je de toestemming alleen kunnen intrekken door een brief te sturen, dan is aan deze voorwaarde niet voldaan.

Verantwoordingsplicht

Je kunt aantonen dat er toestemming gegeven is. Je zult dus een administratie bij moeten houden waaruit blijkt voor welke verwerkingen met welke doelen je toestemming gekregen hebt. Hierbij registreer je ook welke informatie de personen vooraf gekregen hebben. Het is dan niet voldoende om te vermelden dat ze een formulier en een brief hebben gekregen, want het gaat ook om de inhoud van dat formulier of die brief. Voeg die dan dus ook toe aan je administratie.

In de praktijk

Toen ik dit allemaal aan het regelen was, bedacht ik me dat dit best ingewikkeld is om te regelen. Tot nu toe kreeg ik van de ouders toestemming om contact op te nemen met de leerkracht en noteerden zij de naam en het e-mailadres in hun overeenkomst. Op basis daarvan maakte ik een account voor de leerkracht in Mijn Superkracht, als die daar bij bijvoorbeeld het eerste gesprek toestemming voor gaf, mondeling...

Dat betekende dat ik de toestemming van de leerkracht om die gegevens te verwerken niet kon aantonen en dat ik de gegevens eigenlijk al verwerkte voordat ik de toestemming had. Dat gebeurde namelijk al doordat het op de overeenkomst van de leerling stond. Ik zou me hierin kunnen beroepen op een gerechtvaardigd belang (1 van de 6 grondslagen), maar de vraag is of in dit geval mijn belang opweegt tegen dat van de leerkracht.

 Nu heb ik een formulier opgesteld waarop ik beide zaken in 1 keer regel: de ouders van de leerling geven in het eerste deel toestemming voor het delen van de gegevens met de leerkracht en op het tweede deel geven de leerkrachten toestemming om hun gegevens te verwerken. Pas als iedereen dit formulier heeft ingevuld, krijg ik het en gaat het mijn administratie in.

Als je toestemming of een overeenkomst hebt op basis waarvan je de persoonsgegevens mag gaan verwerken, wordt het tijd om na te gaan denken hoe je deze gegevens gaat beschermen. In mijn volgende blog schrijf ik het één en ander over de beveiligingsmaatregelen.