Home > Blog > Is mondelinge toestemming voldoende onder de AVG?

Is mondelinge toestemming voldoende onder de AVG?

Toestemming, toestemming, toestemming: het lijkt wel het enige credo dat voortvloeit uit de (nieuwe) Europese privacywet (AVG). Zeker niet in alle gevallen is dat echter nodig om persoonsgegevens te mogen gebruiken. Desondanks wordt om de haverklap gevraagd “of iemand akkoord is” met het gebruik van zijn data. Maar hoe zit het nu als die toestemming enkel mondeling is gegeven? Is dat ook voldoende?

Het krijgen van een rechtmatig akkoord vanuit natuurlijke personen is van verschillende voorwaarden afhankelijk. Het maakt echter in principe helemaal niet uit of die toestemming nu mondeling of schriftelijk is gegeven. Zo lang de instemming maar duidelijk en vrijwillig is gegeven, zit het wel goed.

Baseer je je gebruik vervolgens op gegeven toestemming, dan moet je dat echter wel goed kunnen onderbouwen. De bewijslast ligt, met andere woorden, bij degene die bijvoorbeeld een nieuwsbrief verstuurt. Hoe zulk bewijs eruit moet zien, staat eigenlijk niet vast. Het is niet zo dat de AVG voorschrijft hoe die onderbouwing precies moet gebeuren; die verantwoordelijkheid ligt bij elk bedrijf zelf. Omdat het om een mondelinge toezegging gaat, is dit natuurlijk best een lastige opgave. Immers is een bandopname of bijvoorbeeld double-opt-in (via een nakomende email) dan bijna het enige sluitende bewijs. Zonder zulke aanvullend stukken is het moeilijk te bewijzen dat een mondelinge verklaring écht is gegeven.

Moet je dan maar gewoon alle gesprekken opnemen? Dat is ook niet het geval. Je mag tegelijkertijd namelijk volstaan met het nemen van ‘passende maatregelen’, om te kunnen aantonen dat het gebruik van de gegevens in overeenstemming is met de AVG. Daarbij mag rekening worden gehouden met de aard, context en het doel van het gebruik, alsook met de risico’s voor natuurlijke personen. En de kosten van te nemen maatregelen kunnen hierbij worden meegewogen. Wat betreft het opnemen van alle telefoongesprekken zou dat natuurlijk al snel tot (zeer) hoge kosten leiden. Dat, terwijl het risico voor de betrokken niet hoog hoeft te zijn (denk aan een akkoord voor een nieuwsbrief). Zeker niet als de beveiliging goed op orde is.

Verder is het zo dat de bewijsplicht op zichzelf niet mag leiden tot het verwerken van buitensporige hoeveelheden extra gegevens. Er moet genoeg data worden verzameld om te laten zien dat toestemming is verkregen, maar er moet niet méér worden verzameld dan nodig. Als echter alle telefoontjes worden vastgelegd, zal ook meer informatie worden geregistreerd dan enkel de toestemming. Dat is niet altijd gerechtvaardigd.

Uiteindelijk is niet één lijn te trekken als het gaat om het bewijzen van mondelinge toestemmingen. Ja toestemming via de telefoon kan prima rechtsgeldig zijn, maar het later bewijzen hiervan is lastig. Zeker bij belangrijke besluitvormingen (het afsluiten van een verzekering) kan het opnemen van het gesprek gerechtvaardigd zijn. Bij het abonneren op een nieuwsbrief ligt dat minder voor de hand. Denk in die gevallen wel aan een duidelijk register van mondelinge verklaringen van toestemming, zodat kan worden aangetoond hoe en wanneer de toestemming is verkregen, en welke informatie daarbij precies is verstrekt.