Toverwoord ‘toestemming’ draagt niet bij aan betere gegevensbescherming

Column – Wie de media-optredens van de Autoriteit Persoonsgegevens voorbij ziet komen, krijgt van privacy een eenzijdige indruk. Waarbij ‘toestemming’ het toverwoord is. Slechts bij uitzondering kunnen er gegevens worden verwerkt op basis van een van de andere vijf rechtsgronden die de privacywetgeving (AVG) biedt. In dit artikel wil ik graag de discussie openen over de werkelijke waarde van toestemming. Wordt je privacy daadwerkelijk beter beschermd door vaker geconfronteerd te worden met keuzemomenten?

Moeten we niet zuiniger omgaan met de aandacht van de consument?

Sinds 2012 kennen we in Nederland de verplichting om toestemming te vragen voor het plaatsen van cookies. Dit resulteerde in de welbekende wildgroei aan pop-ups waarmee doorlopend in afwijkende bewoordingen toestemming wordt gevraagd voor gangbare vormen van tracking op websites. Bijvoorbeeld om gepersonaliseerde content en advertenties mogelijk te maken. Onderzoek van ACTAL maakt duidelijk dat deze verplichting een grote ergernis is bij internetgebruikers.

Is hierdoor de privacy daadwerkelijk beter beschermd? De toestemmingsverplichting brengt ook aanzienlijke kosten voor het bedrijfsleven met zich mee. Kosten die uiteindelijk ook op het bord van de consument terecht komen. Uit steeds meer onderzoeken komt het fenomeen ‘consent fatigue’ naar voren. We worden behendig in het zo snel mogelijk weg klikken van pop-ups en banners, waardoor onze aandacht voor de keuzes afneemt. Hoe vaker we moeten kiezen, hoe lager onze aandacht om ons daadwerkelijk te verdiepen in de materie waarin we een keuze moeten maken.

Bewaar toestemming voor belangrijk keuzes

Ik wil niet pleiten voor afschaffen van de toestemmingsverplichting voor cookies. Ik wil benadrukken dat toestemming een belangrijk middel is dat bewaard moet worden voor belangrijke keuzes. Een bekentenis: ik ben jurist en heb ook geen tijd en behoefte om de hele dag door cookie statements te lezen voordat ik geïnformeerd een keuze maak of websites een cookie op mijn apparaat mogen plaatsen.

Academici laten hetzelfde geluid horen: “Toestemming is niet heilig”

Ook in academische literatuur wordt vanuit verschillende hoeken benadrukt dat toestemming geen wondermiddel is. Helen Nissenbaum (vooraanstaand professor informatiewetenschappen en privacy-voorvechtster) schreef in de Harvard Business Review een artikel met de veelzeggende titel Stop thinking about consent: it isn’t possible and it isn’t right.

Ze maakt duidelijk dat de praktijk niet meer te vangen is in een checkbox: “Requiring consent for every use isn’t reasonable and may prevent as many good outcomes as bad (…) It’s not that we don’t know what consent means; it’s that getting to a point where we understand the true sense of what consent means is impossible. (…) Even if you tried to create totally transparent consent, you couldn’t. Well meaning companies don’t know everything that happens with the data they collect.”

Van ‘I agree’ naar ‘Meh, whatever’

Gezaghebbende experts Frederik Zuiderveen Borgesius (UvA), Bart van der Sloot (UvT) en Chris Hoofnagle (Berkeley) benadrukken in hun meest recente paper dat toestemming door de strenge eisen van de AVG en haar voorganger een onrealistisch middel is voor veel verwerkingen: “In many contexts the burdens the GDPR places on consent make consent impossible as mechanism to make data use legal.”

Ze benadrukken dat ‘notice and choice’ een veelal Amerikaans fenomeen is, waar de gebruiker toestemming moet geven om gebruik te kunnen maken van veel diensten. De schuld wordt neergelegd bij de gebruikers die slechte keuzes maken door deze voorwaarden toch te accepteren. In een recent opiniestuk in de New York Times wordt kritiek geuit op dit model van gegevensbescherming:

Why would anyone read the terms of service when they don’t feel as though they have a choice in the first place? It’s not as though a user can call up Mark Zuckerberg and negotiate his or her own privacy policy. The “I agree” button should have long ago been renamed “Meh, whatever.”

Deze situatie leidde enkele weken geleden nog tot grote verontwaardiging toen bekend werd dat jongeren (sommigen pas 13 jaar oud) voor 20$ per maand hun gehele internetverkeer lieten analyseren door Google en Facebook. Vrijwel iedereen is het er over eens dat hier de privacy is geschonden. En toch was er sprake van toestemming.

Willen we een Amerikaanse situatie?

Hoewel bij ons is vastgelegd dat men ‘vrij’ moet zijn om toestemming te geven, valt op dat ook in Nederland door de toezichthouder wordt aangestuurd op een situatie waar de burger steeds keuzes moet maken. Ik denk dat we de opgedane ervaring op het gebied van cookie-toestemming moeten gebruiken om van te leren. Willen we hier een Amerikaanse situatie waar we – wanneer het mis gaat – de burger de schuld geven omdat hij onverstandige keuzes maakt?

Het antwoord staat al in de wet

De wetgever heeft specifiek verwerkingen benoemd waar toestemming vereist is, bijvoorbeeld voor het versturen van e-mail, het plaatsen van cookies, of het verwerken van bijzondere persoonsgegevens (bijvoorbeeld over je gezondheid). Het is niet voor niets dat in de AVG het recht op bezwaar is opgenomen. Dit is een opt-outmechanisme, en veronderstelt dat er niet vooraf toestemming is gegeven. Anders volstaat immers de mogelijkheid om die toestemming weer in te trekken.

In de AVG zijn – net als in haar voorganger – naast toestemming nog vijf rechtsgronden beschreven op basis waarvan persoonsgegevens mogen worden verwerkt. Deze rechtsgronden kennen geen hiërarchie. Op voorwaarde dat ze goed zijn toegepast, zijn ze allemaal geschikt om de privacy van de betrokkenen te waarborgen.

Leg de verantwoordelijkheid bij organisaties, niet burgers

Een van die grondslagen is het gerechtvaardigd belang van de organisatie. Als organisatie mag je gegevens verwerken als dit noodzakelijk is voor een bedrijfsbelang. Zo’n belang kan bijvoorbeeld het belang zijn om als organisatie aan (direct-)marketing te doen. Dit is zelfs in overweging 47 van de AVG beschreven. Het gerechtvaardigd belang is overigens geen vrijbrief om ‘zomaar’ van alles te mogen verwerken. Er moet aangetoond kunnen worden dat er een juiste afweging is gemaakt, waaruit blijkt dat de impact op de rechten en vrijheden van de burger niet zwaarder weegt dan je bedrijfsbelang. Ook mag je niet meer gegevens verwerken dan hiervoor noodzakelijk is. Bovendien moet de organisatie informeren over deze belangen, bijvoorbeeld in de privacyverklaring.

Dit is een andere wettelijke benadering van gegevensbescherming dan toestemming. De verantwoordelijkheid tot het maken van een zorgvuldige afweging ligt bij de organisatie, die dit moet kunnen aantonen. Ik denk dat dit, in combinatie met scherp toezicht, leidt tot effectievere gegevensbescherming dan het opzadelen van de consument met deze keuzes.

Gerechtvaardigd belang: van vage ‘open norm’ naar een zorgvuldige afweging

Het aan een organisatie toevertrouwen van een zorgvuldige afweging van privacybelangen tegen een bedrijfsbelang vergt juridische kennis, ethisch besef en een vertrouwensband met de consument. Daarvoor is meer nodig dan een wettelijke bepaling.

Hoe creëren we een situatie waar organisaties de juiste afwegingen maken, en deze documenteren zodat de toezichthouder dit kan controleren? Ik denk dat hier een verantwoordelijkheid ligt bij zowel de toezichthouder als bij organisaties zelf. De toezichthouder moet organisaties het vertrouwen geven dat het mogelijk is om op basis van het gerechtvaardigd belang gegevens te verwerken, ook voor marketingdoeleinden. Het bedrijfsleven heeft vervolgens de verantwoordelijkheid om te zorgen dat er met deze ruimte netjes wordt omgegaan.

Handvatten en dialoog nodig

We merken bij DDMA dat organisaties veel baat hebben bij handvatten voor het maken van privacy-afwegingen. Als sector kunnen we gezamenlijk standaarden creëren voor veel voorkomende verwerkingen, waardoor niet iedereen het wiel zelf opnieuw hoeft uit te vinden. Denk hierbij aan een template voor een Privacy Impact Assessment, of de variant voor het gerechtvaardigd belang: de Legitimate Interest Assessment.

Ook is er behoefte aan een dialoog met de consument, om vinger aan de pols te houden. Hoe denkt een gemiddelde Nederlander over de privacy-impact van wat organisaties met zijn of haar gegevens doen? Daar doet de Autoriteit Persoonsgegevens (pdf) en DDMA onderzoek naar. Beide onderzoeken laten zien dat consumenten privacy belangrijk vinden, maar dat zij er over het algemeen niet naar handelen. Een mogelijke reden ligt in beperkte kennis, interesse en tijd om er echt iets mee te doen. Laten dit nu juist de belangrijkste randvoorwaarden zijn voor effectief gebruik van toestemming.

Het is belangrijk dat we een situatie creëren waarin vertrouwen bestaat tussen organisaties en consumenten.

Vertrouwen en zorgvuldigheid gaan boven toestemming

De recente uitspraken van Aleid Wolfsen wekken bij de burger de indruk dat toestemming de enige weg is naar betere bescherming van persoonsgegevens. Dit blokkeert de mogelijkheid voor organisaties om te bouwen aan een vertrouwensrelatie met de klant. Het onderzoek van de AP laat zien dat burgers in het algemeen bang zijn dat hun gegevens niet in goede handen zijn bij organisaties. De DDMA Privacy Monitor wijst uit dat vertrouwen de belangrijkste reden is voor consumenten om hun gegevens toe te vertrouwen aan een organisatie. Het is dus belangrijk dat we een situatie creëren waarin vertrouwen bestaat tussen organisaties en consumenten.

Een bedrijfscultuur waarbij alleen compliance wordt gecreëerd door toestemmingshokjes te laten afvinken, leidt niet tot meer vertrouwen. We moeten verder gaan. Vertrouwen creëer je door consumenten te laten zien dat ze op de eerste plaats staan. Door te handelen op een manier die de consument van je verwacht. Ga dus verantwoordelijk met zijn/haar gegevens om en wees daar transparant over. Wie hier naar handelt, bouwt aan vertrouwen, een fundament voor een duurzame relatie met de klant. Iets wat je met alleen toestemming vragen nooit zal bereiken.