Redactioneel - AVG: de Trieste Teloorgang van Toestemming

De toestemming is failliet. Althans als je het mij vraagt. En dan doel ik op toestemming voor de verwerking van persoonsgegevens. ‘Waarom?’ of ‘hoezo dan?’ denkt u misschien. Nou, ik illustreer dit graag aan de hand van een paar willekeurige voorbeelden uit de media en aan de hand van mijn eigen ervaring.

Ik begin met m’n eigen ervaring. Ik heb de laatste paar weken vóór 25 mei, weet ik niet hoeveel mails ontvangen van bedrijven met als strekking: ‘van de AVG moet u uw toestemming voor onze nieuwsbrief herbevestigen’. Maar dat hoeft helemaal niet in alle gevallen. ‘Elk nadeel heb z’n voordeel’, zei Cruijff ooit, en mijn ‘voordeel’ is dus dat ik weer enig besef heb in hoeveel databases ik wel niet zit. Nou, dames en heren: heul veul kan ik u zeggen!

Verder vragen de grote tech-giganten zoals Whatsapp en Twitter je ‘vanwege de AVG’ te bevestigen dat je toch écht ouder bent dan 16. Dat moet dan ook met toestemming te maken hebben, denk ik dan. Immers, de AVG heeft iets met een leeftijdsgrens van 16 jaar. Het verhaal wordt sterker. Ik werd laatst gebeld door een journalist die wilde weten hoe het zat met Twitter, die accounts van minderjarigen had dichtgezet na 25 mei. Ik moest er even naar zoeken en op kauwen, maar het ging om EU landen die de leeftijd voor de toestemming van ook de ouders/wettelijk voogd naar 16 jaar hebben opgekrikt onder de AVG, maar die daarvóór kennelijk een lagere leeftijd hanteerden. Help, een vacuüm over het verleden! Daar kon Twitter kennelijk niet mee uit de voeten en heeft besloten die accounts maar dicht te zetten.

Ook moet je de nieuwe privacyvoorwaarden van bepaalde diensten verplicht accepteren. En daarmee geef je dan je toestemming voor het gebruik van jouw data welke verder gaat dan de data die nodig zijn voor het gebruik van de dienst zelf. Ook dit wordt sterker: op LinkedIn las ik het treurige bericht van iemand dat Twitter zijn account maar meteen had opgeheven toen hij de voorwaarden niet had geaccepteerd. En mijn eigen ervaring: de meeste grote social media platformen bleken de instellingen voor toestemming standaard op ‘zeer gunstig’ voor het platform zelf te hebben ingesteld. Of, zo las ik in de krant, de ‘look&feel’ van de toestemmingsknop sterk te laten lijken op “OK” of “Like” knoppen, zodat je sneller je toestemming geeft.

Als laatste voorbeeld het onderzoek van de Consumentenbond naar toestemming voor zogenaamde tracking cookies in de cookie statements op websites. Volgens de Consumentenbond vielen een paar grote partijen hier lelijk door de mand en kregen een dikke onvoldoende van de bond. U voelt ‘m al aankomen denk ik: ook dit verhaal wordt sterker. Naar verluidt is Bol.com heel boos geworden op de Consumentenbond vanwege die onvoldoende. Het zou volgens Bol.com volstrekt onterecht zijn. Vervolgens heeft de Consumentenbond zijn oordeel over Bol.com alsnog aangepast naar een voldoende, maar met de opmerking dat de instellingen voor toestemming wel lastig te vinden waren in het cookie statement. Onduidelijkheid alom.

Deze voorbeelden raken wel een fundamenteel punt: wat is nu vrije toestemming?

Max Schrems is meteen op 25 mei een – mijns inziens terechte – actie gestart om over het punt van deze vrije toestemming duidelijkheid te verkrijgen van de privacy waakhonden. Hij heeft bij de waakhonden in België, Frankrijk, Duitsland en Oostenrijk (helaas niet in Nederland!) klachten ingediend tegen Google, Facebook, WhatsApp en Instagram.

Volgens Schrems is de Artikel 29 Werkgroep (tegenwoordig: het Europees Comité voor gegevensbescherming) duidelijk over wat vrije toestemming inhoudt: de toestemming is niet geldig als je gedwongen wordt in te stemmen en anders geen dienstverlening ontvangt. Schrems zet hier overigens scherp in. Volgens hem gaat het bij het verplicht moeten slikken van privacyvoorwaarden niet om een vrije keuze, maar doet eerder denken ‘aan een Noord-Koreaans verkiezingsproces.’

Goed, de bal ligt dus bij de privacy waakhonden. En daarna ongetwijfeld bij de rechter, tot aan de hoogste EU rechter. De lijn van de waakhonden kunnen we denk ik wel al raden op de voet van art. 7 lid 4 AVG: vrije toestemming betekent ook een dienst kunnen gebruiken zonder met je data te betalen. Of rechters die lijn ook gaan volgen moet ik nog zien trouwens. Het gaat dus nog wel even duren vóórdat we dit zeker weten.

Ik sluit af met de constatering dat het natuurlijk triest is dat die duidelijkheid er niet is. In Nederland is die bijvoorbeeld ook niet gegeven door de Autoriteit Persoonsgegevens. Ik heb de voorzitter eerder in de media nog aangespoord om geen wankele waakhond te zijn, maar te gaan staan voor onze privacy. En om aldus duidelijkheid te scheppen op dit punt. Maar wat ik toen nog niet wist is dat de AP intern ook voor de nodige uitdagingen staat. Laat dat overigens geen excuus zijn.

We gaan het als redactie zeker volgen en ik reken op uw toestemming om er ook nog over te publiceren.