Tag: toestemming

AVG en volmacht

Auteur: Jeroen Terstegge

Onlangs kreeg ik de vraag voorgelegd of een belastingadviseur aan een betrokkene een volmacht kan vragen voor het gebruik van zijn of haar Burgerservicenummer (BSN) ten behoeve van diens belastingaangifte. Een betrokkene kan immers op grond van de UAVG geen toestemming geven voor de verwerking van het BSN door de belastingadviseur. De vraag lag voor of het werken met een volmacht een juridisch toegestaan alternatief was. Mijn antwoord was: ja. Sterker nog, het is naar mijn mening de enige mogelijkheid voor een belastingadviseur om het BSN te mogen verwerken. Art. 46 UAVG schrijft immers voor dat het BSN “slechts (wordt) gebruikt ter uitvoering van de [belastingwetgeving])”. Omdat dat precies het doel van de volmacht is, valt de verwerking door de financieel adviseur dus binnen de toegestane doeleinden van art. 46 UAVG. Omgekeerd: zonder de volmacht is de verwerking van het BSN door belastingadviseurs juist verboden, omdat het BSN dan niet gebruikt wordt voor de uitvoering van de belastingwetgeving. De rechtshandeling waar de volmacht op ziet, is immers het doen van aangifte en dat is hier de “uitvoering” als bedoeld in art. 46 UAVG.  

De relatie tussen de AVG/UAVG en de volmacht (Titel 3 Boek 3 Burgerlijk Wetboek) is voor velen ondoorzichtig. Met enige regelmaat zien we ook dat -soms ten onrechtmatig- toestemming gevraagd wordt waar beter een volmacht had kunnen worden afgegeven of waar ondanks de volmacht alsnog om toestemming van de betrokkene wordt gevraagd. We zetten even een paar belangrijke zaken rondom volmacht en de AVG/UAVG hieronder op een rijtje: Lees verder

De tien grootste misverstanden over de AVG

U hebt waarschijnlijk inmiddels wel gehoord van die nieuwe privacywet die sinds 25 mei van kracht is. Maar is alles wat u hoort of leest ook waar? De 10 grootste misverstanden en fake news op een rijtje:

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker. Lees verder

De AVG in Beeld: Gegevensverwerking van kinderen (deel 1)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen zetten we de vereisten bij gegevensverwerking over kinderen uiteen. Deze blog beschrijft de toestemmingsvereisten bij een gegevensverwerking van kinderen tot zestien jaren oud. De volgende ‘AVG in Beeld’: Kinderen betreft de verplichting om de wettelijke vertegenwoordiger te informeren.

Welke ouder, oma, opa, tante, oom of andere wettelijke vertegenwoordiger heeft het meegemaakt dat een kind voor het gebruik van social media, app of computerspel om zijn of haar toestemming heeft gevraagd? Waarschijnlijk bijna niemand. Kinderen van tegenwoordig zijn immers geen digibeten. Zij kunnen gemakkelijk spelletjes, social media-accounts en applicaties openen zonder dat de ouders daartoe hebben ingestemd, ook al wordt er wel gevraagd om toestemming van hen.

Er bestaan een hoop cowboy-verhalen over de gegevensverwerking bij kinderen. De beruchtste is deze: om überhaupt gegevens van kinderen te mogen verwerken, moet men toestemming hebben van de ouders of wettelijk vertegenwoordiger. Niet waar! Zelfs niet als ook de AP op haar website die fout maakt:

“Verwerkt u straks gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van de ouders. Onder de AVG moet u dan dus controleren of de ouders daadwerkelijk toestemming hebben gegeven.”

Lees verder

De AVG in Beeld: Toestemming – wanneer (niet)

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog behandelen we het tweede deel van het onderwerp Toestemming en gaan we in op: wanneer moet u uw klant (niet) om toestemming vragen?

In onze vorige blog hebben we de voorwaarden voor een rechtsgeldige toestemming op een rijtje gezet.

toestemming
De conclusie was dat toestemming vragen best wat om het lijf heeft. In deze blog gaan we in op de vraag wanneer je nu wel en niet om toestemming moet vragen. Ons uitgangspunt is daarbij: vraag zo min mogelijk om toestemming. Niet omdat zware voorwaarden aan rechtsgeldige toestemming worden gesteld, maar omdat het privacyrechtelijk gezien niet redelijk is. In de loop van de voorbereidingen op de AVG is het wellicht een goed idee om eens nauwkeurig na te gaan: vraagt uw organisatie toestemming op momenten waar het eigenlijk niet de bedoeling is?

Lees verder

De AVG in Beeld: Toestemming – het wat en hoe

In de blogserie ‘De AVG in Beeld‘ zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In twee delen behandelen we het onderwerp Toestemming. Deze keer: wat is toestemming en hoe vraagt u uw klant op de juiste manier om toestemming?

Toestemming is een vaak besproken onderwerp in de privacywereld. De AVG heeft met een paar extra nuances de voorwaarden voor toestemming goed op de kaart gezet.

toestemming
Toch blijven de basisprincipes vergelijkbaar met die uit de Wbp. In praktijk komt het voor dat aan deze principes nog niet is voldaan. In de loop van de voorbereidingen op de AVG is het dus een goed moment voor een integrale check: vraagt uw organisatie op de juiste manier om toestemming?

 

Lees verder

Een goed Big Data plan heeft geen toestemming nodig

Deze week stond het nieuws bol van de ‘Big Data’-plannen van ING om data-analyses te gaan uitvoeren op de betalingsgegevens van hun klanten om zo de klant te voorzien van mogelijk interessante aanbiedingen van bedrijven. ING haastte zich te benadrukken dat die analyse alleen met de uitdrukkelijke toestemming van de klant zou gebeuren (‘opt-in’). Ook het College Bescherming Persoonsgegevens (CBP, nu Autoriteit Persoonsgegevens) benadrukte in zijn eerste reactie dat de plannen van ING uitsluitend toelaatbaar waren als de klant toestemming had gegeven voor de analyses. Je zou dus zeggen dat het met de plannen van ING wel goed zit. Als de klant toestemming geeft, mag het. Einde discussie! Iedereen tevreden.

Big data
Of toch niet?  Uit de vele negatieve reacties, zowel in de pers als op social media, bleek dat veel mensen niet gediend waren van de plannen van de ING. U zou kunnen zeggen: “Waar zeuren die mensen over? Als ze niet mee willen doen, dan geven ze toch gewoon geen toestemming?” In die visie is toestemming een panacee; een toverwoord dat in een klap alles goed maakt. Die visie is fundamenteel onjuist.

Lees verder

Wat doet u met cookies?

Als u naar een website als deze surft, waar gebruik wordt gemaakt van cookies, heeft u recht op goede informatie over de cookies en mogen ze niet worden geplaatst voordat u toestemming geeft. Als u zelf ook cookies uitwisselt, rust op u de plicht om uw bezoekers over die cookies te informeren en te voorzien in een procedure voor toestemmingverlening en administratie. 

cookies
[1]
Op cookies kan tegelijkertijd ook de Wet Bescherming Persoonsgegevens (binnenkort: de AVG) van toepassing zijn.

Lees verder