Persoonsgegevens als ruilmiddel
Student: Melissa Curiel
Masterscriptie Informatierecht
Begeleider: dr. F.J. Zuiderveen Borgesius
1
Abstract
Persoonsgegevens worden tegenwoordig steeds meer gebruikt als ruilmiddel. Winkelketens en verzekeringsmaatschappijen bieden korting aan klanten in ruil voor het verkrijgen van meer persoonsgegevens van de klant. Ik onderzoek daarom of het verkrijgen van korting in ruil voor persoonsgegevens in overeenstemming is met de Wet bescherming
persoonsgegevens. Voor dit onderzoek wordt gebruik gemaakt van literatuur omtrent de Wet bescherming persoonsgegevens. Ook wordt er een interne rechtsvergelijking gemaakt tussen het overeenkomstenrecht en de Wbp. Dit systeem van korting geven levert een knelpunt op met het vereiste dat de verwerking van persoonsgegevens gebaseerd dient te zijn op een grondslag uit artikel 8 Wbp. De verwerking zal in de meeste gevallen niet gebaseerd kunnen worden op artikel 8b en 8f Wbp en ook artikel 8c tot en met 8e Wbp zijn niet van toepassing. Of de verwerking gebaseerd kan worden op artikel 8a Wbp hangt ervan af of toestemming voor de verwerking geacht kan worden vrij te zijn gegeven. Om dat te bepalen kunnen samengevat drie factoren in acht worden genomen: korting op een verplicht product, geen alternatief en afhankelijkheid.
2
Inhoudsopgave
Hoofdstuk 1 – Inleiding ... 4 1.1 Aanleiding ... 4 1.2 Onderzoeksvragen ... 5 1.3 Methodologie ... 6Hoofdstuk 2 – Voor- en nadelen ... 8
2.1 Voordelen ... 8
2.2 Nadelen ... 9
2.3 Tussenconclusie ... 11
Hoofdstuk 3 - Knelpunt in de Wbp ... 12
3.1 Algemeen ... 12
3.2 Noodzakelijkheid voor de uitvoering van een overeenkomst ... 12
3.3 Noodzakelijk voor een gerechtvaardigd belang ... 13
3.3.1 Gerechtvaardigd belang ... 13
3.3.2 Noodzakelijk ... 14
3.3.3 Tussenconclusie ... 15
Hoofdstuk 4 – Toestemming als verwerkingsgrondslag ... 17
4.1 Toestemming en controle ... 17 4.2 Vereisten algemeen ... 17 4.3 Wilsuiting ... 18 4.4 Specifiek ... 18 4.5 Op informatie berustend ... 19 4.6 Vrije toestemming ... 20 4.6.1 Afhankelijkheid ... 21 4.6.2 Take it or leave it ... 23 4.7 Tussenconclusie ... 25
3
Hoofdstuk 5 - Overeenkomstenrecht en consumentenrecht ... 26
5.1 Bedreiging ... 26
5.2 Misbruik van omstandigheden ... 27
5.3 Oneerlijke handelspraktijk ... 29
Hoofdstuk 6 – Een grens ... 32
Hoofdstuk 7 – Conclusie ... 36
8 - Bibliografie ... 39
4
Hoofdstuk 1 – Inleiding
1.1 Aanleiding
Ongeveer een jaar geleden kwam het bericht naar buiten dat verzekeraar Achmea de intentie had om kortingen aan te bieden in ruil voor meer persoonsgegevens van de klant, verzameld door middel van bijvoorbeeld gezondheidsapps of armbanden/horloges die lichamelijke gegevens meten.1 Dit bericht leverde erg veel kritiek op2: men was het niet eens met het plan van Achmea. Maar niet alleen Achmea of verzekeringsmaatschappijen in het algemeen willen kortingen aanbieden in ruil voor persoonsgegevens. Steeds meer bedrijven zien
persoonsgegevens als ruilmiddel voor korting. Enkele jaren geleden leverde het gepersonaliseerde kortingssysteem van Albert Heijn - Mijn Bonus - ook al de nodige commotie op, wat leidde tot een onderzoek door de Autoriteit Persoonsgegevens.3 Over
andere grote winkelketens horen we echter vrijwel niets. Toch gebruiken deze bedrijven ook persoonsgegevens in ruil voor korting. Zo heeft H&M een clubmembersysteem waarbij alleen leden van de club korting krijgen, dus alleen diegenen die persoonsgegevens zoals naam en adres delen met het bedrijf.4 Vergelijkbaar is het Ikea-familiesysteem, waarbij leden van de familie korting krijgen.5 Zo zijn er nog vele andere winkelketens die vergelijkbare
kortingssystemen hanteren.
Persoonsgegevens worden tegenwoordig dus steeds meer gebruikt als ruilmiddel. We moeten ons hiervan bewust zijn omdat het recht op eerbiediging van het privéleven een mensenrecht is.6 Korting krijgen in ruil voor het geven van toestemming voor de verwerking van
persoonsgegevens betekent dus dat bedrijven een van onze mensenrechten zien als ruilmiddel. Ik vraag mij af of persoonsgegevens ingezet kunnen worden als ruilmiddel. Afgezien van het algemene recht op privacy op grond van artikel 8 van het Europees Verdrag voor de Rechten van de Mens (hierna: EVRM) en van artikel 10 van de Grondwet, worden persoonsgegevens in Europa specifiek beschermd in het Handvest van de Grondrechten van de Europese Unie. Ook is er de Richtlijn betreffende de bescherming van persoonsgegevens.7 Deze is in
1 ANP, NOS 1 oktober 2015
2 Austin, bof 1 oktober 2015 en Hofmans 1 oktober 2015 3 Autoriteit Persoonsgegevens 12 november 2012
4https://www.hm.com/nl/customer-service/hm-club-loyalty
5http://www.ikea.com/ms/nl_NL/ikea_family/about_ikea_family.html 6 art. 8 EVRM
5 Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (hierna Wbp). Ik ga onderzoeken of het verzamelen van persoonsgegevens in ruil voor korting in
overeenstemming is met de Wbp en of er grenzen zijn vast te stellen voor wanneer dit wel in overeenstemming is met de Wbp en wanneer niet.
1.2 Onderzoeksvragen
Naar aanleiding van wat ik hierboven beschreven heb, ga ik in deze scriptie de volgende hoofdvraag beantwoorden:
Is het verkrijgen van kortingen in ruil voor het verstrekken van persoonsgegevens verenigbaar met de Wet bescherming persoonsgegevens en zo ja, onder welke omstandigheden?
Om deze hoofdvraag te kunnen beantwoorden, formuleer ik vijfdeelvragen.
Mijn eerste deelvraag luidt als volgt: Wat zijn de voor- en nadelen van het verzamelen van persoonsgegevens in ruil voor korting? Deze deelvraag bespreek ik in hoofdstuk 2. Daarin zet ik uiteen waarom korting geven niet altijd positief is en welke nadelen eraan kleven. Deze nadelen maken het voor mij interessant om te onderzoeken of persoonsgegevens kunnen worden ingezet als ruilmiddel voor korting.
In hoofdstuk 3 behandel ik de tweede deelvraag, namelijk: Wringt het verzamelen van persoonsgegevens in ruil voor korting met een vereiste uit de Wbp en zo ja, welke vereiste en waarom? Bij het beantwoorden van deze deelvraag ga ik in op artikel 8 Wbp omdat ik betwijfel of het aanbieden van korting in ruil voor persoonsgegevens gebaseerd kan worden op een van de grondslagen uit dit artikel. Ik ga in dit hoofdstuk in op de
verwerkingsgrondslagen uit artikel 8b Wbp (noodzakelijkheid voor de uitvoering van een overeenkomst) en artikel 8f Wbp (noodzakelijkheid voor een gerechtvaardigd belang). De verwerkingsgrondslagen uit artikel 8c tot en met 8e Wbp zijn niet van toepassing op de situatie die in deze scriptie centraal staat, dit valt niet te betwijfelen en hier ga ik daarom verder niet op in. De verwerkingsgrondslag toestemming uit artikel 8a Wbp bespreek ik in hoofdstuk vier.
In hoofdstuk 4 staat de derde deelvraag centraal: Hoe dienen de vereisten van toestemming in de zin van artikel 8a Wbp te worden geïnterpreteerd? In dit hoofdstuk ga ik in op de vier vereisten voor toestemming. Ik bespreek hoe de vier vereisten ingevuld dienen te worden en of een vereiste een probleem oplevert bij het geven van korting in ruil voor persoonsgegevens.
6 Ik vraag mij vooral af of voldaan kan worden aan het vereiste dat toestemming vrij dient te zijn gegeven. In dit hoofdstuk ga ik daarom dieper in op het vereiste van vrije toestemming. De vraag of toestemming voor het verwerken van persoonsgegevens in ruil voor korting daadwerkelijk niet vrij kan zijn, beantwoord ik in hoofdstuk 6.
In hoofdstuk 5 maak ik een zijsprong naar het Burgerlijk Wetboek omdat in dit hoofdstuk de volgende deelvraag centraal staat: Is het aanbieden van korting in ruil voor persoonsgegevens een situatie waarin sprake is van een bedreiging, misbruik van omstandigheden of een
oneerlijke handelspraktijk en waarom is dat wel of niet het geval? Ik ga in op deze drie gronden voor vernietiging uit het overeenkomsten- en consumentenrecht omdat deze gronden te maken hebben met een niet in vrijheid gegeven verklaring. De uitkomst wil ik naar
analogie toepassen op de Wbp.
In hoofdstuk 6 behandel ik de laatste deelvraag: Wat zijn de omstandigheden waardoor het geven van toestemming voor de verwerking van persoonsgegevens in ruil voor korting geacht kan worden vrij te zijn gegeven? In dit hoofdstuk stel ik vast op welke factoren gelet moet worden om te bepalen of toestemming om persoonsgegevens te verwerken in ruil voor korting vrij is gegeven. Ik pas de factoren voor vrije toestemming dus toe op deze specifieke situatie. Ook bespreek ik of andere omstandigheden van belang zijn, zoals de verwerking van
bijzondere persoonsgegevens.
In het zevende en laatste hoofdstuk leest u de conclusie, waarmee ik antwoord geef op de hoofdvraag van deze scriptie.
1.3 Methodologie
Deze scriptie bestaat uit descriptief en normatief onderzoek. De hoofdvraag is vooral
normatief omdat mijn antwoord beschrijft hoe het recht geïnterpreteerd zou moeten worden. Voor deze scriptie maak ik allereerst gebruik van literatuur over privacyrecht en de Wet bescherming persoonsgegevens. Helaas is er weinig jurisprudentie over de uitleg van de Wbp. Daarnaast gebruik ik beslissingen van de Autoriteit Persoonsgegevens en opinies van de Artikel 29 werkgroep.
Ook maak ik in deze scriptie een interne rechtsvergelijking. Ik kijk over de grenzen van het privacyrecht en zoek aansluiting bij het overeenkomstenrecht. Een bedrijf dat korting aanbiedt in ruil voor persoonsgegevens van de klant sluit immers een overeenkomst met die persoon. Ik gebruik hierbij literatuur over bepaalde vernietigingsgronden voor overeenkomsten maar
7 ook over oneerlijke handelspraktijken bij consumentenovereenkomsten. Mijn bevindingen pas ik naar analogie toe op de Wet bescherming persoonsgegevens. Zo hoop ik te kunnen
aangeven waar de grens van vrije toestemming ligt in situaties waar toestemming wordt gevraagd om persoonsgegevens te verzamelen in ruil voor korting.
8
Hoofdstuk 2 – Voor- en nadelen
2.1 Voordelen
Het systeem waarbij bedrijven korting geven aan klanten in ruil voor meer persoonsgegevens kent voordelen in twee opzichten: voor de bedrijven, die de gegevens verzamelen en voor de klant, die persoonsgegevens vrijgeeft. Het aanbieden van kortingen is een marketingstunt van bedrijven, die daarmee zoveel mogelijk klanten willen aantrekken; klanten die ook terugkeren als de kortingsactie voorbij is.
Met de manier van korting geven die in deze scriptie centraal staat, krijgen bedrijven meteen iets terug: persoonsgegevens. Dat levert het hiernavolgende voordeel op voor bedrijven: Winkelketens leren de consument beter kennen omdat gegevens - zoals naam, leeftijd, adres en wellicht andere informatie zoals interesses - worden gedeeld via het scannen van een pas bij vrijwel elke aankoop. Met deze gegevens weten winkelketens op een bepaald moment wie wat gaat kopen. Verzekeringsbedrijven kunnen de klant beter leren kennen door middel van gegevens die zij verkrijgen via een slimme armband, een gezondheidsapp of meetkastjes in huizen of auto’s. Een voordeel voor bedrijven is dus dat ze de consument beter leren kennen en op hun gedrag kunnen inspelen. Uit onderzoek van de Autoriteit Persoonsgegevens naar het Mijn Bonussysteem van Albert Heijn blijkt dat de gegevens onder andere gebruikt worden om trends in de markt te constateren, om bedrijfsprocessen te evalueren en om fatsoenlijk voorraadbeheer te kunnen doen.8 Dit voordeel geldt voor de meeste bedrijven.
Een ander voordeel van het geven van korting in ruil voor persoonsgegevens geldt alleen voor bedrijven zoals verzekeringsmaatschappijen die hun korting baseren op gegevens uit
meetkastjes, in bijvoorbeeld auto’s. Een voordeel is dat veilig rijden wordt gestimuleerd, waardoor er minder schadeclaims zijn.9 Meetkastjes in auto’s geven de klant meer inzicht in
zijn eigen risicogedrag, waardoor hij veiliger gaat rijden.10
Een groot voordeel dat in alle situaties geldt waarin korting wordt gegeven in ruil voor persoonsgegevens, is dat de klant geld kan besparen. Het geven van korting in ruil voor
8 Autoriteit Persoonsgegevens 2012, p. 34 9 Timmer e.a. 2015, p.39
9 persoonsgegevens lijkt dus niet problematisch te zijn: het is zowel voordelig voor bedrijven als voor de klant.
2.2 Nadelen
Er zijn ook nadelen te noemen voor het systeem van korting geven in ruil voor
persoonsgegevens. Het eerste en naar mijn mening grootste nadeel geldt voor elk bedrijf dat korting wil geven in ruil voor persoonsgegevens. Dat nadeel is: controle over eigen
persoonsgegevens wordt een privilege, voor de rijken. Het staat vast dat de ene persoon meer afhankelijk is van kortingen die worden aangeboden dan de ander. Voor iemand die meer geld te besteden heeft, is de keuze tussen het betalen van de hogere prijs of een deel betalen met persoonsgegevens als hij dat liever niet wil, niet zo moeilijk. Voor iemand die het minder breed heeft is deze keuze moeilijker. Een korting kan het verschil maken tussen de vraag of er wel of geen nieuwe kleren gekocht kunnen worden of zelfs hoeveel boodschappen er die maand gedaan kunnen worden. Ik kan me voorstellen dat iemand toch voor de korting gaat, al vindt diegene het verlies over de controle van zijn persoonsgegevens niet fijn.
Er is onderzoek gedaan naar Nederlanders die bereid zijn gegevens te delen in ruil voor korting. Hieruit blijkt dat bijna de helft van de Nederlanders (45 procent) bereid is om gegevens te delen met de zorgverzekeraar in ruil voor korting. Onder Nederlanders met een laag inkomen en jongeren, die vaak ook een lager inkomen hebben, blijkt het draagvlak hiervoor het grootst.11 Door verzekeringen waar het mogelijk is om korting te krijgen in ruil voor meer persoonsgegevens van de klant ontstaat een groep in de samenleving van wie het gedrag continu gemonitord wordt.12 Dit brengt mij op het tweede nadeel.
Het tweede nadeel hangt samen met de manier waarop de extra gegevens soms worden verzameld. Dat kan bijvoorbeeld gebeuren via meetapparatuur, zoals meetkastjes in een auto. Het rijgedrag wordt dan constant gemonitord. Hoewel deze manier van rijgedrag monitoren voordelen heeft, is monitoring nadelig voor de ontwikkeling van een persoon.13 Het nadeel is des te groter wanneer iemand voortdurend gemonitord wordt. Neem nu de Amerikaanse verzekeraar Oscar, die fitnessarmbanden aanbiedt en korting geeft op het moment dat de drager van de armband een aantal stappen per dag zet. Wie aan het einde van de maand onvoldoende stappen heeft gezet, kan ervoor kiezen om nog een paar blokjes om te gaan, in
11 Multiscope 21 april 2016
12Moerel & Prins 2016, p.46
10 plaats van bijvoorbeeld naar de bioscoop te gaan met vrienden.14 Men zou kunnen zeggen dat
het monitoren leidt tot gezonder leven omdat iemand wordt aangespoord meer te bewegen, wat dus voordelig is. Uit het voorbeeld blijkt ook dat het sociale leven van mensen kan worden beïnvloed. Een gevolg van constante monitoring is dus ook vaak dat men zijn of haar gedrag aanpast, om bijvoorbeeld te voldoen aan een vereiste voor korting. Onze autonomie wordt dus aangetast omdat onze keuzes in ons dagelijks leven een groeiende invloed hebben op onze positie in de samenleving en op de mogelijkheid ons financieel en sociaal staande te houden in de samenleving.15Dit is een groot nadeel omdat de bescherming van onder andere persoonlijke autonomie en keuzevrijheid de basis is voor zelfontwikkeling. Ook zijn
autonomie en keuzevrijheid een waarborg voor het goed functioneren van een pluriforme democratische samenleving.16
Het derde nadeel geldt alleen voor situaties waarin verzekeringsmaatschappijen korting aanbieden in ruil voor persoonsgegevens. Zij hanteren een vorm van premiedifferentiatie die verder gaat dan de huidige premiedifferentiatie. De premie wordt op persoonlijke basis vastgesteld maar hoe precies, dat is onduidelijk. Iemand die in de ogen van de verzekeraar veilig rijdt, krijgt korting en de wegpiraat betaalt de prijs. Dat is duidelijk. Het is echter onduidelijk wat er gebeurt als juist de wegpiraat nooit een schadeclaim indient.17 Er kan zelfs beargumenteerd worden dat dit verzekeringssysteem in strijd is met artikel 14 EVRM.18 In dit artikel staat dat uitoefening van wettelijk verankerde rechten verzekerd dient te zijn zonder enige discriminatie. Om deze reden mogen bijvoorbeeld autoverzekeraars geen onderscheid maken op grond van geslacht.19 Volgens Moerel en Prins zal dit via het kortingssysteem toch
gebeuren. Uit de data die verzameld worden, zal namelijk blijken dat vrouwen voorzichtiger rijden, aldus Moerel en Prins. Via het kortingssysteem kan ook op basis van andere
discriminerende elementen onderscheid gemaakt worden. Mocht blijken dat mensen met een bepaalde afkomst vaak ongelukken veroorzaken, dan is het discriminatie als de
verzekeringspremie voor iedereen met die afkomst wordt verhoogd.20
14 Moerel en Prins 2016, p.46 15 Ibid, p.46
16 De Jong 2014, p.62 17Moerel & Prins 2016, p.46 18 Ibid, p.46
19 HvJ EU 1 maart 2011, C-236/09 (Association Belge des consommateurs Test-Achats e.a.), par.17 20Moerel & Prins 2016, p.47
11
2.3 Tussenconclusie
Uit dit hoofdstuk blijkt dat er voor- maar ook nadelen zijn aan het systeem waarbij bedrijven toestemming vragen om persoonsgegevens te verwerken en in ruil daarvoor korting geven. De voordelen zijn vooral financieel van aard. Voor de bedrijven geldt dat de persoonsgegevens vooral worden verzameld voor winstdoeleinden. De klant heeft een financieel voordeel omdat hij minder geld hoeft te betalen. Tegenover deze voordelen staan echter drie ernstige nadelen. Het eerste en grootste nadeel is dat het systeem aanmoedigt dat controle over
persoonsgegevens een privilege voor de kapitaalkrachtigen wordt. Het tweede nadeel is de manier waarop in sommige gevallen die persoonsgegevens verzameld worden. Het derde nadeel komt alleen voor wanneer verzekeraars premiekorting aanbieden in ruil voor meer persoonsgegevens van de klant. Die manier van premiedifferentiatie kan namelijk in strijd zijn met artikel 14 EVRM.
Bovenstaande nadelen wijzen erop dat persoonsgegevens verzamelen in ruil voor korting een grote impact kan hebben op het leven van mensen. Daarom ga ik in het volgende hoofdstuk na of dit systeem van persoonsgegevensverwerking een knelpunt oplevert met de Wbp.
12
Hoofdstuk 3 - Knelpunt in de Wbp
3.1 Algemeen
Dit derde hoofdstuk is gewijd aan de tweede deelvraag: met welk vereiste(n) van de Wbp wringt het geven van korting in ruil voor persoonsgegevens? In deze scriptie ga ik ervan uit dat bedrijven personen kunnen onderscheiden doordat ze gegevens verzamelen zoals naam, adres, interesses en informatie gemeten vanaf fitnessarmbanden of meetkastjes in huis. Men mag ervan uitgaan dat zij persoonsgegevens verwerken.21 Van de uitzonderingen22, waardoor de Wbp ondanks verwerking van persoonsgegevens niet van toepassing is, is geen sprake. De toepasbaarheid van de Wbp op een situatie brengt een aantal algemene voorwaarden met zich mee waaraan bedrijven die persoonsgegevens gebruiken altijd moeten voldoen.23 Ervan uitgaande dat aan deze algemene vereisten is voldaan, wil ik stilstaan bij het vereiste dat het gebruik van persoonsgegevens gebaseerd moet zijn op een verwerkingsgrondslag. De verwerkingsgrondslagen zijn opgesomd in artikel 8 Wbp. Ik vind het interessant om te onderzoeken of de verwerking van persoonsgegevens in ruil voor korting gebaseerd kan worden op de toestemmingsgrondslag uit artikel 8a Wbp. Voordat ik de
toestemminsgrondslag bespreek ga ik echter in op de vraag of het mogelijk is de verwerking te baseren op een van de andere vijf grondslagen. Bedrijven zullen de verwerking namelijk het liefst op een andere grondslag baseren dan toestemming. Toestemming kan namelijk te allen tijde worden ingetrokken.24 De verwerking kan ieder geval niet gebaseerd worden op deze grondslagen van artikel 8c tot en met 8e Wbp. In de volgende paragrafen ga ik in op de grondslagen van artikel 8b en 8f Wbp.
3.2 Noodzakelijkheid voor de uitvoering van een overeenkomst
Artikel 8b Wbp geeft aan dat verwerking van persoonsgegevens is toegestaan wanneer dat noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Die noodzaak moet strikt worden opgevat.25 Voorbeelden hiervan zijn: adresgegevens bij een online koopovereenkomst of bankrekeninggegevens die noodzakelijk zijn om het salaris van
21 Kamerstukken II 1997/98, 25892, nr.3, p.4 22 Art. 2 lid 2 en lid 3 Wbp
23 Hoofdstuk 2 paragraaf 1 Wbp
24 Kamerstukken II 1997/98, 25892, nr.3, p.67 25 Article 29 Working Party 2014, WP 217, p.17
13 een werknemer uit te betalen bij een arbeidsovereenkomst. Op basis van deze voorbeelden kan mijns inziens worden gesteld dat gegevens alleen noodzakelijk zijn wanneer het onmogelijk is om de overeenkomst uit te voeren zonder die gegevens. Bij winkelketens die om extra persoonsgegevens vragen in ruil voor korting is het dus de vraag of het voor de verkoop van het product noodzakelijk is om deze extra gegevens op te slaan. In het geval van verzekeringen is het de vraag of het voor het afsluiten van de verzekering noodzakelijk is om de extra persoonsgegevens te verzamelen. Dat het verwerken van persoonsgegevens een onderdeel is van het contract betekent niet automatisch dat dit kan worden opgevat als
noodzakelijk voor de uitvoering van de overeenkomst.26 Verwerking van persoonsgegevens is een onderdeel van de overeenkomst maar een koopovereenkomst kan ook zonder de extra gegevens worden nagekomen en verzekeraars kunnen ook zonder de extra persoonsgegevens de betrokkene verzekeren. Daarom acht ik de verwerking van extra persoonsgegevens niet noodzakelijk voor de uitvoering van een overeenkomst, en deze verwerking van
persoonsgegevens kan dus niet gebaseerd worden op artikel 8b Wbp.
3.3 Noodzakelijk voor een gerechtvaardigd belang
Op grond van artikel 8f Wbp kunnen gegevens ook verwerkt worden als het noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke of een derde, tenzij fundamentele rechten of vrijheden van de betrokkene prevaleren. De verantwoordelijke die in deze scriptie centraal staat is het bedrijf dat persoonsgegevens verzameld zoals de verzekeringsmaatschappijen of winkels. De betrokkene is de klant waarvan bedrijven
persoonsgegevens willen verzamelen. Het achterhalen of deze grondslag gebruikt kan worden splits ik op in twee delen: eerst moet de vraag worden beantwoord of de verantwoordelijke een gerechtvaardigd belang heeft bij het verwerken van persoonsgegevens. Als blijkt dat er een gerechtvaardigd belang is moet vervolgens worden bepaald of het voor de behartiging van dat belang noodzakelijk is om persoonsgegevens te verwerken.
3.3.1 Gerechtvaardigd belang
Een gerechtvaardigd belang kan aanwezig zijn als de verwerking van persoonsgegevens nodig is voor de reguliere bedrijfsactiviteiten.27 Door na te gaan wat het belang van de
verantwoordelijke is, kan men bepalen of aan het eerste deel van de grondslag is voldaan. Volgens de Artikel 29 Werkgroep kan een gerechtvaardigd belang ruim worden opgevat. Het
26 Article 29 Working Party 2014, WP 217, p.17 27 Hooghiemstra & Nouwt 2013, p.3
14 belang is gerechtvaardigd zolang het op zichzelf niet in strijd is met enige wetgeving, het belang voldoende duidelijk is en het belang daadwerkelijk bestaat.28 Bij het geven van korting
in ruil voor het verkrijgen van persoonsgegevens is het belang van bedrijven commercieel, het gaat uiteindelijk om winstmaximalisatie. Bij autoverzekeringsbedrijven kan winst
gemaximaliseerd worden omdat men veiliger gaat rijden door dit kortingssysteem. Bij
winkelketens kan winst gemaximaliseerd worden omdat er beter ingespeeld kan worden op de klanten als het bedrijf hen beter leert kennen. Er is dus een gerechtvaardigd belang bij het verzamelen van persoonsgegevens.
3.3.2 Noodzakelijk
Wanneer blijkt dat er een gerechtvaardigd belang is om persoonsgegevens te verwerken moet vervolgens worden bepaald of die verwerking wel noodzakelijk is voor de behartiging van dat belang . Als het belang anderszins of met minder ingrijpende middelen kan worden gediend, kan de verwerking niet noodzakelijk worden geacht en is deze dus niet toegestaan. Het gaat dus om de vraag in hoeverre er is voldaan aan de vereisten van proportionaliteit en
subsidiariteit.29 Voor verzekeringsbedrijven is dat mijns inziens niet het geval: het is erg ingrijpend om gemonitord te worden. Het doel kan volgens Moerel ook op minder ingrijpende wijze worden bereikt: in plaats van constant monitoren kan een verzekeraar kastjes in auto’s plaatsen en daarmee gegenereerde data analyseren. De resultaten die uit de analyse komen, kunnen vervolgens worden gebruikt om de bestuurder feedback te geven op zijn rijstijl, trainingen in rijstijl aan te bieden en bij verbetering een beloning te geven, zoals een gratis wasbeurt.30 Maar ook als het belang wel noodzakelijk zou zijn, is nog niet voldaan aan het
tweede deel van de grondslag.
De belangen van de verantwoordelijke en de betrokkene moeten tegen elkaar worden afgewogen. Volgens de Artikel 29 Werkgroep moet hierbij een aantal factoren in acht genomen worden.31 Een eerste factor is het belang van diegene wiens gegevens verzameld worden. In dit geval gaat het om het fundamentele recht op privacy, specifieker gezegd om het recht op bescherming van persoonsgegevens. Maar ook het belang van zelfontwikkeling wordt verstoord door monitoring. Een tweede factor is de impact op de betrokkene. Zoals eerder gezegd is de impact van constante monitoring erg groot omdat dit het gedrag van iemand kan beïnvloeden. De volgende factor is de aard van de gegevens. Zijn de gegevens die
28 Article 29 Working Party 2014, WP 217, p.25 29 Kamerstukken 1997/98, 25892, nr.3, p.87 30 Moerel 28 November 2015
15 verzameld worden gevoelig, dan slaat de balans meer door naar het belang van de betrokkene. Ook de verhouding tussen de verantwoordelijke en de betrokkene is van belang. Omdat verzekeringsmaatschappijen vaak een dominante positie hebben ten opzichte van de
betrokkene, zal de balans nog meer naar het belang van de betrokkene doorslaan. Een andere factor is de manier waarop de gegevens worden verwerkt. In dit geval gaat het om profilering, wat de verwerking minder toelaatbaar maakt.
Er moet nu een finale balans worden opgemaakt door de waarborgen van de
verantwoordelijke in acht te nemen. Hoe meer waarborgen, hoe meer de balans zal doorslaan naar de verantwoordelijke. Een voorbeeld van een waarborg is de keuze om te weigeren dat persoonsgegevens verwerkt worden. In de situatie dat in ruil voor de verwerking korting wordt aangeboden, is die keuze naar mijn mening niet vrij.32 Andere waarborgen zijn bijvoorbeeld: transparantie, minimalisering, encryptie, anonimisering en een korte
bewaartermijn. Mijns inziens kan het verzamelen van persoonsgegevens in ruil voor korting door verzekeringsmaatschappijen niet gebaseerd worden op artikel 8f Wbp. Ten eerste omdat de verwerking niet noodzakelijk is; als dit wel het geval zou zijn, dan slaat de balans, gelet op de factoren, nog steeds door naar het belang van de betrokkene. Waarborgen kunnen de balans mijns inziens niet meer anders laten uitslaan.
In het geval van winkels die extra persoonsgegevens vereisen voordat ze korting geven, zou de verwerking minder ingrijpend kunnen zijn, bijvoorbeeld door de verzamelde gegevens te anonimiseren. Naar mijn mening is de verwerking van de gegevens wel proportioneel in verhouding tot het doel. Ook slaat de balans meer door naar het belang van de winkels omdat de verantwoordelijke in zulke gevallen vaak een minder dominante positie heeft dan een verzekeraar. Omdat klanten niet constant gemonitord worden, is de impact niet heel groot. De balans slaat nog meer door naar het belang van de bedrijven wanneer ze de korting niet baseren op profilering. Hoe meer waarborgen, hoe sterker de balans doorslaat naar het belang van de verantwoordelijke.
3.3.3 Tussenconclusie
Wat geconcludeerd kan worden is dat het geven van korting in ruil voor persoonsgegevens wringt met het vereiste dat de verwerking gebaseerd dient te zijn op een
32 Zie hoofdstuk 2.2.
16 verwerkingsgrondslag33. Uit paragraaf 3.2 bleek dat de verwerking mijns inziens niet
gebaseerd kan worden op artikel 8b Wbp. Verzekeringsmaatschappijen kunnen de verwerking van persoonsgegevens in ruil voor korting ook niet baseren op artikel 8f Wbp. En wat als het winkels toch ook niet lukt op grond van artikel 8f Wbp? Beide verantwoordelijken zullen dan zeggen dat klanten toch zelf de keuze maken om persoonsgegevens op deze manier te delen. Bedrijven zullen ervoor pleiten dat toestemming voldoende is om persoonsgegevens te verwerken. Wat echter ook van belang is, is dat diegene die toestemming geeft een deel van een belangrijk mensenrecht verruilt. Dat heeft de persoon in kwestie zelf vaak niet door. Daarom is het een van de uitgangspunten van de Wbp om personen te beschermen in het gebruik van hun persoonsgegevens. Want die gegevens zijn informatie, en dat leidt tot macht die misbruikt kan worden.34 Om deze reden is toestemming niet altijd voldoende om
persoonsgegevens te verwerken. Ook aan toestemming kleven haken en ogen. Hoe de vereisten van toestemming geïnterpreteerd moeten worden, bespreek ik in het volgende hoofdstuk.
33 Art. 8 Wbp
17
Hoofdstuk 4 – Toestemming als verwerkingsgrondslag
Aan het eind van het vorige hoofdstuk is gebleken dat ik betwijfel of de bedrijven
toestemming wel als verwerkingsgrondslag kunnen inroepen wanneer ze persoonsgegevens willen verwerken in ruil voor korting. In dit hoofdstuk ga ik dieper in op toestemming als grondslag voor de verwerking van persoonsgegevens en beantwoord ik de derde deelvraag: Hoe dienen de vereisten van toestemming in de zin van artikel 8a Wbp te worden
geïnterpreteerd?
4.1 Toestemming en controle
Toestemming is een van de zes gronden voor verwerking van persoonsgegevens. Als enige is deze in lijn met het idee dat men zelf controle moet hebben over de verwerking van zijn persoonsgegevens.35 Althans, wanneer de verwerkingsgrond op de juiste manier en in de juiste situatie wordt ingezet. Is dit niet het geval, dan is er geen of niet genoeg controle, waardoor toestemming geen legitieme verwerkingsgrond is. Met het inzetten van de verwerkingsgrond op de juiste manier bedoel ik dat er aan een aantal vereisten moet zijn voldaan, wil er daadwerkelijk sprake zijn van toestemming. Dat lukt niet in alle situaties van verwerking van persoonsgegevens. Indien wel aan alle vereisten is voldaan, betekent het dat diegene wiens gegevens verwerkt worden nog genoeg controle heeft, waardoor toestemming een legitieme verwerkingsgrondslag is.
4.2 Vereisten algemeen
Allereerst is een belangrijke vereiste dat moet zijn voldaan aan alle algemene verplichtingen genoemd in hoofdstuk 2 paragraaf 1 Wbp. Toestemming betekent namelijk niet dat de verantwoordelijke niet meer hoeft te voldoen aan de algemene verplichtingen.36 Naast de algemene verplichtingen is er nog een aantal vereisten waaraan moet zijn voldaan indien toestemming wordt gebruikt als verwerkingsgrondslag. Deze vereisten worden genoemd in artikel 1i Wbp. In dit artikel staat dat er voor toestemming voor de verwerking van
persoonsgegevens sprake moet zijn van een wilsuiting die specifiek is, op informatie berust en vrij is. Toestemming bestaat dus uit vier deelvereisten. Ook bedrijven die persoonsgegevens willen opslaan in ruil voor korting moeten dus opletten dat aan alle vier de vereisten is
35Article 29 Working Party 2011, WP 187, p.8 36 Ibid, p.9
18 voldaan indien zij toestemming als grondslag gebruiken. In het geval dat niet bewezen kan worden dat aan de vereisten is voldaan, kan toestemming niet als grondslag worden gebruikt om persoonsgegevens te verwerken. In de volgende paragrafen ga ik dieper in op de vier vereisten en bespreek ik waarom er naar mijn mening wel of niet aan kan worden voldaan.
4.3 Wilsuiting
Het vereiste dat er sprake moet zijn van een wilsuiting kan breed worden opgevat. Wilsuitingen zijn namelijk niet aan vormvereisten onderworpen.37 De uiting kan dus in
geschreven vorm maar ook mondeling zijn gedaan. Passief gedrag wordt niet geaccepteerd als een wilsuiting.38 Een zorgverzekeringsmaatschappij zou bijvoorbeeld niet voldoen aan het
vereiste van een wilsuiting indien zij een brief of een mail verzenden waarin het volgende staat: “vanaf de volgende maand zullen gezondheidsgegevens die gemeten zijn vanaf de telefoon, gebruikt worden om te bepalen of en hoeveel kortingen u voortaan krijgt. Tenzij u binnen drie weken kan aangeven daar niet mee akkoord te gaan”.
Het vereiste van een wilsuiting is naar mijn mening niet het probleem bij de vorm van verwerking die in deze scriptie centraal staat. Zolang bedrijven ervoor zorgen dat de wilsuiting niet op een passieve manier is gedaan, is toestemming als verwerkingsgrondslag nog mogelijk.
Ook staat in artikel 8a Wbp beschreven dat toestemming ondubbelzinnig dient te zijn. Dit houdt in dat er geen enkele twijfel over mag bestaan of iemand daadwerkelijk toestemming geeft.39 In deze scriptie ga ik ervan uit dat de bedrijven die persoonsgegevens willen
verwerken in ruil voor korting, toestemming op zo’n manier hebben verkregen dat te bewijzen valt dat deze ondubbelzinnig is.
4.4 Specifiek
Een tweede vereiste is dat toestemming specifiek dient te zijn, met andere woorden: voor diegene die toestemming geeft moet duidelijk zijn voor welke verwerking hij dat doet. Wanneer iemand toestemming geeft aan de verantwoordelijke om gegevens te verwerken voor vrijblijvende doeleinden, is dat niet specifiek.40 Het vereiste van informatie, dat ik hierna zal bespreken, zit vast aan het vereiste dat toestemming specifiek dient te zijn. Wordt men
37 Art. 3:37 BW
38Article 29 Working Party 2011, WP 187 p.11-12 39 Berkens & Prins 2014
19 onvoldoende geïnformeerd over wat er verwerkt wordt, dan kan toestemming ook niet
specifiek zijn.41
Bedrijven die persoonsgegevens willen bewaren in ruil voor korting moeten daadwerkelijk aangeven dat persoonsgegevens worden opgeslagen voor het berekenen van kortingen. Als dit gebeurt, is toestemming specifiek en is voldaan aan het tweede vereiste van toestemming.
4.5 Op informatie berustend
In deze paragraaf bespreek ik het derde vereiste voor toestemming. Hierboven beschreef ik dat de elementen specifiek en geïnformeerd met elkaar samenhangen. Wanneer iemand onvoldoende is geïnformeerd, kan toestemming ook nooit specifiek zijn. Maar wanneer is iemand zodanig geïnformeerd dat dit genoeg is voor toestemming?
Allereerst is het van belang dat de vereiste informatie wordt verstrekt voordat de gegevens verwerkt worden.42 Vermeldt de verantwoordelijke bijvoorbeeld dat de exacte informatie op korte termijn zal volgen, dan berust toestemming tot de verwerking van gegevens vóór ontvangst van de informatie niet op die informatie en kan de verwerking niet gebeuren op grond van artikel 8a Wbp. Inhoudelijk kan aan het informatievereiste worden voldaan als de betrokkene beschikt over de noodzakelijke informatie voor een goede oordeelsvorming over het wel of niet toestemming geven. Hij moet op een duidelijke en begrijpelijke manier
nauwkeurig worden geïnformeerd over de aspecten van de gegevensverwerking die voor hem van belang zijn.43
In feite moet de informatie aan twee vereisten voldoen. Ten eerste moet de informatie van goede kwaliteit zijn. Denk aan taalgebruik dat begrijpelijk is voor de gemiddelde persoon. Ten tweede moet de informatie ook toegankelijk zijn.44 Al is de inhoud van de informatie nog zo duidelijk, als men de informatie niet of moeilijk kan vinden is niet voldaan aan het
informatievereiste. Informatie moet dus op een directe wijze worden geleverd aan een betrokkene. Doorverwijzen naar een ander document dat men zelf moet opzoeken is onvoldoende.45
Het voldoen aan de twee deelvereisten is makkelijker gezegd dan gedaan, en dit heeft
verschillende redenen. Een van die redenen is te moeilijk taalgebruik. Een andere reden is dat
41 Autoriteit Persoonsgegevens 2011, p.24 42 Article 29 Working Party 2011, WP 187, p.19
43 Kamerstukken II 1997/98, 25892, nr.3, p. 65-66 en Article 29 Working Party 2007, WP131, p.9 44Article 29 Working Party 2011, WP 187, p.20
20 er zo veel gebeurt met de persoonsgegevens, zoals doorgifte aan tientallen derden, dat niet alles beschreven kan worden.46 Ook wanneer de verantwoordelijke wel alles beschrijft, levert
die volledige beschrijving toch problemen op. Het kost de lezer namelijk te veel tijd om alles te lezen, gelet op wat het hem oplevert.47 Hier moet de verantwoordelijke dus rekening mee houden.
De verantwoordelijke moet dus kunnen uitleggen wat er met de gegevens gebeurt zonder dat die beschrijving te lang wordt. Zolang de gegevens bij het bedrijf blijven dat ze in eerste instantie verzamelt, is naar mijn mening het risico dat er niet meer aan het informatievereiste kan worden voldaan, niet zo groot. De verantwoordelijke heeft het nog zelf in de hand of aan het informatievereiste wordt voldaan. Indien het gebruik van de persoonsgegevens binnen de perken blijft en de informatie niet aan tientallen derden wordt doorgegeven, kan het bedrijf alle relevante informatie over de verwerking direct en begrijpelijk doorgeven, waarmee
voldaan is aan het vereiste om te informeren Voor dit onderzoek ga ik ervan uit dat dit gebeurt en dat in ieder geval is voldaan aan het informatievereiste.
4.6 Vrije toestemming
Het vierde vereiste is dat toestemming vrij dient te zijn gegeven. Dat wil zeggen dat aan het wel of niet toestemmen geen risico´s kleven van misleiding, intimidatie, dwang of angst voor significante negatieve gevolgen.48 Het extreem tegenovergestelde van een vrije handeling als het geven van toestemming, is handelen onder dwang. Dwang is vanzelfsprekend een reden dat niet wordt voldaan aan het vereiste van vrije toestemming. Het al dan niet dwingen van personen om toestemming te geven voor de verwerking van persoonsgegevens heeft de
verantwoordelijke natuurlijk zelf in de hand. Maar niet alleen feitelijke dwang waarbij iemand handelt uit angst voor negatieve gevolgen, leidt ertoe dat toestemming niet vrij kan zijn. Specifieke omstandigheden kunnen met zich meebrengen dat toestemming gegeven in een bepaalde situatie nooit vrij kan zijn, voorbeelden hiervan zal ik benoemen in de volgende paragraaf. In die speciale situaties is toestemming simpelweg nooit vrij en kan dit niet als grondslag gebruikt worden om persoonsgegevens te verwerken. Er is echter geen limitatieve lijst met situaties waarin toestemming zal worden opgevat als ´vrij´. Hier hangt het er dus van af hoe het begrip vrij geïnterpreteerd wordt. In de volgende paragraaf ga ik verder in op de
46 Zuiderveen Borgesius, NJB 2015, afl. 14, p.878-883 47 Acquisti & Grossklags 2007
21 interpretatie van het begrip vrije toestemming en op de grenzen die er al bestaan voor dit begrip.
4.6.1 Afhankelijkheid
Hierboven beschreef ik dat onder andere dwang nooit kan leiden tot het geven van vrije toestemming. Maar toestemming is ook niet vrij indien iemand voor het doen van een bepaalde handeling verplicht wordt om erin toe te stemmen dat persoonsgegevens verwerkt zullen worden, omdat die handeling niet door kan gaan zonder dat gegevens verwerkt worden. Als iemand niet letterlijk wordt gedwongen tot het geven van toestemming voor de
verwerking van persoonsgegevens kan dit impliciet wel zo worden opgevat, omdat diegene de handeling wil voltooien. Dit is bijvoorbeeld het geval wanneer men een paspoort aanvraagt. Om een paspoort te laten maken is het afgeven van een vingerafdruk vereist. Als iemand dit vervolgens doet, kan niet worden geacht dat de toestemming hiervoor vrij is gegeven. Mensen hebben een paspoort nodig en kunnen er niet voor kiezen om nee te zeggen tegen het afgeven van de vingerafdruk.49
Uit dit voorbeeld blijkt dat wanneer men afhankelijk is van datgene waarvoor de verwerking vereist is (in dit geval een paspoort), toestemming niet vrij kan zijn. Zo dient men voor veel zaken een paspoort te hebben, dus toestemming voor de verwerking van persoonsgegevens om dit te krijgen, is niet vrij. Deze afhankelijkheid bestaat ook in de arbeidssituatie. Als een werkgever toestemming vereist van een werknemer om persoonsgegevens te
verwerken en het nadelig is of kan zijn om hierin niet toe te stemmen, dan is toestemming niet vrij gegeven.50 Een werknemer kan toestemming geven alleen omdat hij het gevoel heeft dat
hij ontslagen wordt of die promotie zal missen als hij dat niet doet: hij heeft geen keuze.51 Het ligt lastiger wanneer toestemming om persoonsgegevens te verwerken een vereiste is om te worden aangenomen voor een nieuwe baan. In theorie is er wel een keuze tussen het accepteren van de baan en toestemming geven of de baan niet accepteren. Maar is dit in de praktijk wel een keuze? Naar mijn mening is die keuze er niet en ook uit de opinie van de Artikel 29 Werkgroep blijkt dat dit niet wordt opgevat als een vrije keuze. Wanneer het krijgen van een nieuwe baan van een werknemer vereist dat hij toestemt in de verwerking van persoonsgegevens, dan is die toestemming niet vrij gegeven.52 Dus ook al is er in theorie wel
49 HvJ EU 17 oktober 2013, C-291/12 (Schwarz v. stadt Bochum) 50 Article 29 Working Party 2001, WP 48, p.23
51 Autoriteit Persoonsgegevens 23 augustus 2012 52 Ibid, p.23
22 een keuze en dwingt de werkgever niet specifiek om toestemming te geven voor het
verwerken van persoonsgegevens, vanwege de machtsverhouding is toestemming gegeven in een arbeidssituatie in de meeste gevallen niet vrij omdat er in veel gevallen een risico bestaat dat die toestemming is gegeven uit angst voor nadelige gevolgen.
Ik gaf hierboven aan dat er in de arbeidssituatie een te groot risico bestaat op toestemming gegeven uit angst voor nadelige gevolgen. Als er een situatie bestaat waar deze angst hoogst waarschijnlijk nog dieper ligt, dan is het wel in een medische situatie. Een voorbeeld, genoemd door de Artikel 29 Werkgroep is dat een patiënt sneller wordt behandeld wanneer hij toestemming geeft om zijn persoonsgegevens in een elektronisch dossier te bewaren.53 Niemand wil een risico nemen als het gaat om gezondheid. De medische situatie is dus de derde situatie waarin men vanwege afhankelijkheid van degene die zijn persoonsgegevens wil verwerken geen vrije toestemming kan geven. Toestemming met het oog op het risico dat de medische behandeling niet doorgaat of minder goed zal zijn als hij dat niet doet, kan nooit worden opgevat als vrije toestemming.54
Ook de afhankelijkheid van informatie kan ertoe leiden dat toestemming niet vrij kan worden gegeven. Dit blijkt uit een rapport van de Autoriteit Persoonsgegevens. In 2012 werd op vele websites, waaronder de website van de Nederlandse Publieke omroep (NPO), een cookiemuur doorgevoerd. Dit houdt in dat bezoekers van een website een pop-upscherm te zien krijgen voordat ze de daadwerkelijke website kunnen betreden. Via dit pop-upscherm werd de bezoeker geïnformeerd over het feit dat er cookies werden gebruikt wanneer hij de website van de NPO zou betreden. Er was alleen een mogelijkheid om dit te accepteren, op nee klikken kon niet. Indien men de website wilde bezoeken, was er geen keuze om dit te doen zonder dat er cookies geplaatst werden.55
Dit voorbeeld is relevant omdat met het gebruik van cookies ook persoonsgegevens verwerkt kunnen worden. Als cookies geplaatst worden op een computer of een ander apparaat en deze ook bij bezoek aan andere websites kunnen worden gelezen, dan zijn het tracking cookies. Dit was het geval bij het cookiegebruik van de NPO. Met cookies waarmee het surfgedrag van mensen continu wordt gevolgd, worden doorgaans persoonsgegevens verwerkt.56 Met andere woorden: de mogelijkheid om de website te betreden zonder dat er persoonsgegevens
53 Article 29 Working party 2007, WP 131, p.15 54 Ibid, p.8
55 Autoriteit persoonsgegevens 2014, p.5 56 Autoriteit persoonsgegevens 11 juni 2015
23 verwerkt zouden worden, ontbrak. Weliswaar is er in deze situatie theoretisch wel een keuze om de website niet te betreden, maar er is geen alternatief voor bezoekers die digitaal kennis willen nemen van de informatie en uitzendingen van de publieke omroep. Er is dus bij de NPO sprake van een monopolie. De toestemming om cookies te plaatsen en daarmee
persoonsgegevens te verwerken is in dit geval dus niet vrij.57 Men is immers afhankelijk van de NPO voor informatie over de publieke omroep. In artikel 11.7a lid 5 van de
Telecommunicatiewet is zelfs opgenomen dat toegang tot een dienst van de
informatiemaatschappij geleverd door of namens een krachtens publiekrecht ingesteld rechtspersoon, zoals de NPO58, niet afhankelijk kan worden gemaakt van het verlenen van toestemming om persoonsgegevens te verzamelen.59
Uit de hierboven gegeven voorbeelden blijkt mijns inziens dat, om te bepalen of toestemming geacht kan worden vrij te zijn gegeven, ingeschat moet worden of de betrokkene in de
praktijk een keuze heeft om geen toestemming te geven. Daarvoor is het van belang om te weten in hoeverre iemand afhankelijk is van datgene waarvoor de verwerking van
persoonsgegevens vereist is. Hoe afhankelijker, hoe meer dit wijst op geen vrije toestemming. De afhankelijkheid kan bepaald worden door het nadeel dat kleeft aan het weigeren van de verwerking van persoonsgegevens, zoals niet aangenomen worden voor een nieuwe baan, gezondheidsrisico’s of financieel nadeel. Hoe nadeliger het gevolg, hoe meer er sprake is van afhankelijkheid. Wat ook meespeelt is, in hoeverre er alternatieven zijn voor de betrokkene om datgene te krijgen wat hij wil. Indien er geen privacyvriendelijk alternatief is zal het eerder geacht worden dat toestemming niet vrij gegeven is.
4.6.2 Take it or leave it
In het voorbeeld dat ik hierboven beschreef, had men bij het bezoeken van de website van de NPO een take-it-or-leave-it-keuze om het plaatsen van cookies en daarmee de verwerking van persoonsgegevens toe te staan. Hiermee wordt bedoeld dat een websitehouder van zijn
bezoekers vereist dat zij toestemming geven voor het plaatsen van cookies, take it. De gebruiker die hier niet mee instemt, moet dan kiezen voor een andere website, leave it.60 Bij de website van de NPO was dit keuzemechanisme niet toegestaan, door de specifieke omstandigheden van het geval. Gebruik van het take-it-or-leave-it-keuzemechanisme is niet
57 Autoriteit persoonsgegevens 2014, p.6 58 Art. 2.2 lid 1 Mediawet
59 Art. 11.7a lid 5 Tw jo. 11.7a lid 1 Tw 60 Article 29 Working Party 2013, WP 208, p.5
24 per definitie verboden.61 Niettemin bestaat er scepsis over deze manier van een keuze maken.
Het zou toestemming onvrijwillig maken. Omdat er reëel gezien geen echte keuze is voor de bezoeker van de website, is toestemming niet vrij.62 Ook de Artikel 29 Werkgroep geeft aan
dat bezoekers van een website wel een keuze zouden moeten hebben om het plaatsen van cookies te accepteren of te weigeren. Zij adviseren zelfs om als websitehouder afstand te nemen van dit keuzemechanisme.63Anderzijds geeft de werkgroep aan dat take-it-or-leave-it wel is toegestaan als een deel van de website wordt geblokkeerd wanneer men niet instemt met het plaatsen van cookies.64Hiermee zegt de werkgroep dus dat het aanbieden van take-it-or-leave-it-keuzes niet verboden is. Het ligt dus aan de bijzondere omstandigheden van het specifieke geval of toestemming voor een cookiemuur, en daarmee een take-it-or-leave-it-keuze, is toegestaan. In een aantal omstandigheden valt in ieder geval te betwijfelen of het gebruik van een cookiemuur kan leiden tot toestemming. Zuiderveen Borgesius noemt bijvoorbeeld de volgende omstandigheden:
- Het bedrijf heeft een monopoliepositie.
- Er zijn geen concurrenten die hetzelfde aanbieden en privacyvriendelijker zijn. - Het is geen realistische optie om naar een concurrent te gaan.
- Het kost moeite om naar een andere aanbieder te gaan. - De service is gericht op kinderen.
- Veel mensen komen in aanraking met de cookiemuur.65
Deze omstandigheden geven alleen aanleiding om te betwijfelen of er wel sprake kan zijn van toestemming. In de genoemde situaties kan die toestemming er immers wel zijn. Ook is deze opsomming van omstandigheden niet limitatief.
De bovenstaande beschrijving over de take-it-or-leave-it-keuze heeft vooral te maken met het geven van toestemming wanneer men tegen een cookiemuur aanloopt. De beschrijving is ook van toepassing op de voorbeelden uit paragraaf 4.6.1. Instemmen met het afgeven van
vingerafdrukken voor het maken van een paspoort is ook een take-it-or-leave-it-keuze. Dat geldt ook voor het verwerken van persoonsgegevens bij het aannemen van een nieuwe werknemer of bij medische behandelingen. Bij het beoordelen of toestemming geacht kan worden vrij te zijn gegeven, moet naar mijn mening altijd eerst worden nagegaan of het gaat
61 Article 29 Working Party 2013, WP 208, p.5 62 Kosta, IJLIT 2013, nr.4, p.380-406, p.396 63 Article 29 Working Party 2013, WP 208,p.5 64 Ibid, p.5
25 om een take-it-or-leave it-keuze. De gevallen waarin toestemming niet geacht kan worden vrij te zijn gegeven, zijn namelijk allemaal situaties waarin de betrokkene een take-it-or-leave-it-keuze heeft.
4.7 Tussenconclusie
In deze tussenconclusie geef ik antwoord op de deelvraag die in dit hoofdstuk centraal staat: Hoe dienen de vereisten van toestemming in de zin van artikel 8a Wbp te worden
geïnterpreteerd? Mijn conclusie is dat het knelpunt van het geven van korting in ruil voor persoonsgegevens niet ligt bij het vereiste dat het moet gaan om een op informatie berustende specifieke wilsuiting. Een wilsuiting kan op vele manieren gedaan worden en een bedrijf bepaalt zelf of een actieve wilsuiting is vereist. Een bedrijf dat persoonsgegeven wil verwerken, kiest er zelf voor om informatie over de verwerking op een juiste manier te verschaffen, om daarmee te voldoen aan het informatievereiste. Zo zal ook worden voldaan aan het vereiste dat een wilsuiting specifiek is. Nu ben ik aangekomen bij het vereiste dat naar mijn idee de reden is waarom er wellicht niet is voldaan aan het toestemmingsvereiste en waarom dit dus geen grondslag is voor verwerking van persoonsgegevens: het vereiste dat toestemming vrij dient te zijn gegeven. Er is een aantal niet-limitatieve situaties waarin toestemming nooit vrij kan zijn gegeven. Deze situaties zijn onder meer te herkennen aan de afhankelijkheid van diegene die toestemming moet geven aan de verwerker van de gegevens. Ook zijn deze situaties te herkennen aan de manier waarop de keuze om wel of niet
toestemming te geven, gemaakt moet worden. Hier heb ik het over de take-it-or-leave-it-keuze. Het betekent niet altijd dat toestemming niet vrij kan worden gegeven, maar dit is voor mij wel een aanleiding om te betwijfelen of toestemming vrij is. In hoofdstuk 6 leg ik uit waarom naar mijn mening de situatie waarin bedrijven korting geven in ruil voor meer persoonsgegevens, een situatie is waarin toestemming niet vrij kan zijn gegeven.
26
Hoofdstuk 5 - Overeenkomstenrecht en consumentenrecht
In dit hoofdstuk maak ik een zijsprong naar het overeenkomsten- en consumentenrecht. Ik pas hierbij het Burgerlijk Wetboek (hierna: BW) en specifieker gezegd artikel 3:44 BW naar analogie toe. Uit dit artikel blijkt dat wanneer er sprake is van bedrog, bedreiging of misbruik van omstandigheden de overeenkomst vernietigbaar is.66 Ik wil in dit hoofdstuk ingaan op de vraag of bij het geven van korting in ruil voor persoonsgegevens er sprake kan zijn van bedreiging of misbruik van omstandigheden, omdat dit situaties zijn waarin de wilsuiting niet vrij is. Ook pas ik het consumentenrecht toe. Ik ga in op de vraag of bedrijven die korting aanbieden in ruil voor persoonsgegevens een oneerlijke handelspraktijk toepassen. Deze blik op het overeenkomstenrecht is van belang omdat het bestaan van bedreiging, misbruik van omstandigheden of een oneerlijke handelspraktijk een aanwijzing kan zijn voor het antwoord op de vraag of toestemming in deze situatie geacht kan worden vrij te zijn gegeven.
5.1 Bedreiging
Van bedreiging is sprake wanneer men iemand een zodanige vrees voor een mogelijk nadeel inboezemt dat deze daardoor wordt bewogen een rechtshandeling te verrichten teneinde de verwezenlijking van het nadeel te voorkomen.67 In het geval van een bedreiging, berust de wil om een rechtshandeling tot stand te brengen niet op een werkelijk en volwaardig proces van vrije wilsvorming.68 Bedreiging is dus een voorbeeld van een situatie waarin een keuze niet
vrij kan worden gemaakt. De reden waarom de wilsvorming niet geacht kan worden vrij te zijn, is vergelijkbaar met een van de factoren om te bepalen of toestemming vrij is gegeven in de zin van artikel 8a Wbp. Namelijk: vrees voor een nadeel. Voor mij is dit een bevestiging dat de omvang van het nadeel een belangrijke factor is bij het bepalen of toestemming vrij is gegeven. Om bedreiging aan te nemen moet de vrees voor het nadeel echter voortvloeien uit een bedreiging.
Bedreiging kan gebeuren met een ongeoorloofd middel, maar ook met geoorloofde middelen kan een bedreigende situatie ontstaan. Dit middel moet dan wel onrechtmatig gebruikt
66 Art. 3:44 lid 1 BW
67 Asser/Hartkamp & Sieburg 6-III* 2014/257
27 worden.69 Wanneer bedrijven korting geven in ruil voor persoonsgegevens is het duidelijk dat
het niet gaat om een ongeoorloofd middel. Wat hier als bedreigend gezien kan worden, is dat men persoonsgegevens moet afgeven om korting te krijgen. Het nadeel is hier dat als het niet gebeurt, men geen korting krijgt. Het onthouden van enig voordeel kan niet worden opgevat als enig nadeel en kan dus niet leiden tot een geslaagd beroep op bedreiging.70 Ook Hijma schrijft dat over het algemeen geen sprake is van bedreiging wanneer iemand slechts onder bepaalde voorwaarden bereid is een ander een bepaalde faciliteit te bieden.71 Het geven van korting onder voorwaarde dat men toestemming geeft voor de verwerking van
persoonsgegevens is mijns inziens een voorbeeld van de hierboven beschreven situatie waarin geen sprake is van bedreiging. Er wordt een voordeel onthouden als niet aan de voorwaarde wordt voldaan, maar dit is geen bedreiging.
5.2 Misbruik van omstandigheden
Misbruik van omstandigheden kan worden gezien als de zwakke vorm van bedreiging.72 Om aan te nemen dat er sprake is van misbruik van omstandigheden moet er allereerst een bijzondere omstandigheid zijn waardoor iemand bewogen wordt tot het doen van de rechtshandeling.73 In artikel 3:44 lid 4 is al een aantal niet-limitatieve omstandigheden opgesomd, waaronder afhankelijkheid. In hoofdstuk 4.6.1 werd ook het belang van
afhankelijkheid voor het geven van vrije toestemming genoemd.74 Is er in de situatie waarin men korting kan krijgen in ruil voor persoonsgegevens sprake van enige afhankelijkheid? Met andere woorden: kan het zo worden geïnterpreteerd dat iemand afhankelijk kan zijn van het krijgen van korting voor bepaalde prestaties en daarom toestemt om meer persoonsgegevens vrij te geven? In hoofdstuk 2.2heb ik al aangegeven dat men mijns inziens zeker afhankelijk kan zijn van kortingen. Dit is ook een van de nadelen van deze manier van kortingen geven. Ik ben echter ook van mening dat die afhankelijkheid in het ene geval beter te verdedigen valt dan in het andere. In de voorbeelden van het verkrijgen van een paspoort en de medische behandeling is men afhankelijk omdat geen toestemming een risico oplevert op ernstige nadelige gevolgen. In de praktijk is er dus geen keuze. In de situaties dat winkelketens korting willen geven in ruil voor persoonsgegevens is dit heel anders. Men heeft ook de keuze om naar een andere winkel te gaan en in het geval van kleding kan men wellicht zelf kleding
69 Hijma e.a. 2010, p.199 70 Schaub 2015, p.58
71 Hijma in GS vermogensrecht, art.3:44, aant. 2.3.1.2 (online, laatst bijgewerkt op 1 juni 2015) 72 Hijma e.a. 2010, p.201
73 Art. 3:44 lid 4
28 maken. In de situatie van de winkelketens is er naar mijn mening dus geen sprake van
afhankelijkheid van de korting.
Anders dan bij winkelketens, waarbij men de keuze heeft om niet naar de winkel te gaan, heeft men niet altijd de keuze om geen verzekering af te sluiten. Denk hierbij aan een
autoverzekering of een inboedelverzekering die verplicht is gesteld door een verhuurder. Als er dan een optie is om korting te krijgen op een verzekering door meer persoonsgegevens vrij te geven, kan de afhankelijkheid van die korting mensen ertoe bewegen om toestemming te geven. Het zijn namelijk vooral de mensen met een lager inkomen die persoonsgegevens zouden vrijgeven in ruil voor korting.75 Bij verplichte verzekeringen kan men dus afhankelijk zijn van het verkrijgen van de korting. Hoe meer korting er wordt aangeboden, hoe
aannemelijker die afhankelijkheid is, naar mijn mening.
Voor misbruik van omstandigheden moet aan nog een aantal vereisten worden voldaan. Iemand moet daadwerkelijk hebben toegestemd in de rechtshandeling vanwege die
afhankelijkheid om te voldoen aan het vereiste van causaal verband.76 Vervolgens moet het bedrijf dat korting aanbiedt de totstandkoming van de rechtshandeling bevorderen. Het in ontvangst nemen van een verklaring is al voldoende.77 Het volgende vereiste voor misbruik is dat de bedrijven ook daadwerkelijk moeten weten of begrijpen dat alleen wordt toegestemd vanwege de afhankelijkheid van korting. Mijns inziens kan dit worden aangenomen.
Bedrijven stellen niet voor niets korting tegenover het ontvangen van meer persoonsgegevens. Men weet dat men niet zomaar meer persoonsgegevens zal vrijgeven; anders werd er geen korting tegenovergesteld. Bedrijven moeten begrijpen dat voor mensen met een hoger inkomen de keuze om toch geen toestemming te geven, makkelijker is te maken. Ze moeten dus ook begrijpen dat iemand met een laag inkomen dit doet vanwege afhankelijkheid. Indien dit allemaal aangenomen kan worden, moet nog aan het laatste vereiste voldaan zijn, namelijk dat er daadwerkelijk misbruik wordt gemaakt. Om dit te beoordelen zijn alle bijzondere omstandigheden van belang, zoals: kleeft er enig nadeel aan de rechtshandeling, de aard van de omstandigheden, de wijze waarop de rechtshandeling tot stand kwam en de verhouding tussen partijen.78
75 Multiscope 21 april 2016
76 Hijma, in: T&C Burgerlijk Wetboek. Boeken 1,2,3,4 en 5 2013, p.1939 77 Ibid, p.1940
29 Mijns inziens kan het inzetten van persoonsgegevens als ruilmiddel een vorm van misbruik zijn van mensen die afhankelijk zijn van de korting. Met afhankelijkheid van korting bedoel ik dat een bedrijf invloed kan hebben op de financiële situatie van een klant; hoe hoger de korting hoe meer invloed een bedrijf op de klant heeft. Een forse korting kan voor bepaalde klanten betekenen dat er meer geld overblijft voor bijvoorbeeld boodschappen. Deze groep mensen maakt wellicht liever de keuze om geen extra persoonsgegevens vrij te geven.
Vanwege de afhankelijkheid geven zij toch toestemming, met als nadelig gevolg dat zij tegen hun zin een deel van de controle over hun persoonsgegevens verliezen.
Conclusie: in het geval waarin verzekeringsinstellingen voor verplichte verzekeringen
persoonsgegevens willen ruilen voor kortingen, is naar mijn mening sprake van misbruik van omstandigheden in de zin van artikel 3:44 lid 4 BW.
5.3 Oneerlijke handelspraktijk
In de vorige twee paragrafen stonden vernietigingsgronden uit het algemene overeenkomstenrecht centraal. Ook het consumentenrecht is van toepassing op rechtshandelingen met een winkelketen of verzekeringsmaatschappij. Indien de consumentenovereenkomst tot stand is gekomen onder invloed van een oneerlijke handelspraktijk is deze overeenkomst vernietigbaar.79 In deze paragraaf ga ik na of het aanbieden van korting bij aankoop van een product, in ruil voor persoonsgegevens, een oneerlijke handelspraktijk is in de zin van artikel 6:193b BW.
Uit het bovenstaande blijkt in ieder geval dat is voldaan aan de vereisten dat het gaat om een handelaar en een consument. Het volgende vereiste, dat het gaat om een handelspraktijk, is zeer ruim.80 Het geven van korting in ruil voor persoonsgegevens is een handelspraktijk. Een handelspraktijk is altijd oneerlijk indien het gaat om een misleidende handelspraktijk in de zin van artikelen 6:193c tot en met 6:193g BW, en in het geval van agressieve handelspraktijken in de zin van artikelen 6:193h en 6:193i BW. De artikelen 6:193g en 6:193i BW bevatten zwarten lijsten met handelspraktijken die in alle omstandigheden als misleidend of agressief, en daarmee als oneerlijk, worden aangemerkt. De vernietigingsgrond oneerlijke
handelspraktijk zal dan ook vooral gebruikt kunnen worden indien er sprake is van een van deze handelspraktijken.81 De handelspraktijk van korting aanbieden in ruil voor
persoonsgegevens of een vergelijkbare handelspraktijk staat niet op een van deze twee zwarte
79 Art. 6:193j lid 3 BW 80 Verkade 2009, p.23 81 Hondius 2013, p.51
30 lijsten. Hiermee is niet gezegd dat het geen oneerlijke handelspraktijk is. De handelspraktijk kan nog steeds als misleidend of agressief worden bestempeld. Om dit te bepalen moet, gelet op de concrete omstandigheden, bezien worden of de handelspraktijk misleidend of agressief is.82
Indien de verkoper informatie verstrekt die feitelijk onjuist is of de gemiddelde consument misleidt of kan misleiden, is de handelspraktijk misleidend en dus oneerlijk.83 De vraag is dus of is voldaan aan een informatievereiste. In paragraaf 4.5 concludeerde ik dat voldaan kan worden aan het informatievereiste in de zin van artikel 8a Wbp. Ik ga er daarom vanuit dat niet aan de vereisten voor een misleidende handelspraktijk kan worden voldaan. Ook is er geen sprake van de twee bijzondere typen misleiding uit artikel 6:193c lid 2 BW.
Artikelen 6:193h en 6:193i BW beschrijven de agressieve handelspraktijken; ze zijn gericht op het bestrijden van situaties waarin de handelaar de consument de keuzevrijheid probeert te ontnemen.84 Dit lijkt op artikel 8a Wbp: het vereiste dat toestemming vrij dient te zijn
gegeven bestrijdt namelijk ook dat keuzevrijheid wordt ontnomen. In paragraaf 4.6.1 concludeerde ik al dat toestemming niet geacht kan worden vrij te zijn gegeven als er in de praktijk geen keuze is. In de artikelen 6:193h en 6:193i BW moet het gebrek aan
keuzevrijheid echter het gevolg zijn van intimidatie, dwang of ongepaste beïnvloeding. Een andere vereiste is dat de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen dat hij anders niet had genomen.85 Om te bepalen of dit het geval is, moet rekening worden gehouden met de factoren genoemd in artikel 6:193h lid 2 onder a tot en met e BW. In paragraaf 5.1heb ik al uitgesloten dat de situatie waarin bedrijven voorstellen om korting te geven in ruil voor persoonsgegevens, een bedreiging is. Daarmee kan ik uitsluiten dat er sprake is van een agressieve handelspraktijk door middel van dwang of intimidatie. Gelet op de factoren is er mijns inziens ook geen sprake van een agressieve handelspraktijk door middel van ongepaste beïnvloeding. Allereerst is er namelijk geen dreigende gedraging door de handelaar. Men zou kunnen zeggen dat financiële omstandigheden zoals afhankelijkheid van korting, worden uitgebuit door hier het vrijgeven van persoonsgegevens tegenover te stellen. Maar de omstandigheden zijn niet zo ernstig dat deze het beoordelingsvermogen van de consument beperken. Er is dus geen sprake van uitbuiting. Ook van de factoren onder artikel 6:193h lid 2 onder d en e is geen sprake. Bovendien gaat het erom of de keuzevrijheid
82 Geerts & Vollebregt 2009, p.18 83 Art.6:193c lid 1 BW
84 Geerts & Vollebregt 2009, p.36 85 Art.6:193h lid 1 BW
31 van de gemiddelde consument wordt beperkt. Hiermee wordt bedoeld: de gemiddelde
geïnformeerde, omzichtige en oplettende consument.86 Ten eerste is de gemiddelde
consument niet afhankelijk van korting. Maar de gemiddelde geïnformeerde, omzichtige en oplettende consument die wel afhankelijk is van korting weet ook dat er andere
mogelijkheden zijn. Dus is het niet de gemiddelde consument die ongepast beïnvloed zou worden en is er dus geen sprake van een agressieve handelspraktijk.
Dat er geen sprake is van een misleidende of agressieve handelspraktijk sluit niet uit dat er sprake is van een oneerlijke handelspraktijk. De handelspraktijk kan namelijk vallen onder de algemene norm van artikel 6:193b lid 2 BW. In de praktijk wordt deze echter weinig
toegepast.87 De algemene norm kent twee vereisten. Allereerst moet de handelaar in strijd handelen met het vereiste van professionele toewijding. In essentie gaat het hier om de zorgvuldigheid die van een redelijk bekwaam en redelijk handelend vakgenoot mag worden verwacht.88 Ook moet de handelspraktijk het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen, merkbaar beperken of kunnen beperken.
De handelspraktijk waarin korting wordt gegeven in ruil voor persoonsgegevens voldoet naar mijn mening niet aan de algemene vereisten van een oneerlijke handelspraktijk. Het probleem van deze handelspraktijk heeft niet te maken met het informeren van de consument: deze kan wel een geïnformeerd besluit nemen. De conclusie uit deze paragraaf is dus dat het geven van korting in ruil voor het verkrijgen van meer persoonsgegeven van de consument geen
oneerlijke handelspraktijk is in de zin van het Burgerlijk Wetboek.
86 Kamerstukken II 2006/07, 30928, nr.3, p.14 87 Geerts & Vollebregt 2009, p.18
32
Hoofdstuk 6 – Een grens
In dit hoofdstuk bespreek ik waar de grens ligt van het geven van vrije toestemming om persoonsgegevens te verwerken in ruil voor korting. Onder welke omstandigheden zal toestemming daarvoor wel vrij zijn en wanneer niet?
Zuiderveen Borgesius schrijft dat positieve druk om toestemming te geven over het algemeen is toegestaan. Hij schrijft zelfs dat het recht omtrent persoonsgegevens waarschijnlijk toestaat dat bedrijven mensen verleiden tot het geven van toestemming om persoonsgegevens te verwerken, door korting aan deze mensen te geven.89 Ook Kohnstamm van de Autoriteit Persoonsgegevens zei in een interview dat verzekeringen die premiekorting aanbieden in ruil voor meer persoonsgegevens niet in strijd handelen met de Wbp.90 In hoofdstuk 4 van deze scriptie uitte ik mijn twijfel of toestemming wel kan worden gebruikt als grondslag om persoonsgegevens te verwerken. Deze mening deel ik met Moerel en Prins, die zelfs van mening zijn dat toestemming geen grondslag voor de verwerking van persoonsgegevens zou moeten zijn.91 Het zou alleen een factor moeten zijn om te kunnen bepalen of de
verantwoordelijke een gerechtvaardigd belang heeft.92 Ik ga verder niet in op de vraag of toestemming überhaupt een grondslag voor de verwerking van persoonsgegevens zou moeten zijn. Ik ben wel van mening dat toestemming niet altijd de juiste grondslag is om
persoonsgegeven te verwerken en in ruil daarvoor korting te geven. Ik zie met name een knelpunt met het vereiste dat toestemming vrij dient te zijn.
Het maakt ten eerste al veel uit welk soort gegevens bedrijven willen verwerken. Hiermee bedoel ik dat er een onderscheid is tussen bijzondere en niet bijzondere persoonsgegevens in de zin van artikel 16 Wbp. Het uitgangspunt is namelijk dat verwerking van bijzondere persoonsgegevens verboden is. Er zijn wel een aantal uitzonderingen op dit verbod genoemd in de artikelen 17 tot en met 23 Wbp. Een van de uitzonderingen is uitdrukkelijke
toestemming.93 Uitdrukkelijke toestemming is een aanscherping ten opzichte van
toestemming uit artikel 8a Wbp. De wil van de betrokkene moet namelijk expliciet worden geuit.94 Voor deze scriptie ga ik ervan uit dat expliciete toestemming is gegeven. Verder zijn
89 Zuiderveen Borgesius 2014, p. 225 90 Modderkolk 1 oktober 2015
91 Moerel & Prins 2016, p.107 en Van Eijk, NJB 2016, vol. 91, p.1528-1533, p.1529 92Moerel & Prins 2016, p.107
93 Art.23 lid 1 onder a Wbp
33 de vereisten dezelfde als toestemming in de zin van artikel 8a Wbp. In hoofdstuk 4 heb ik al besproken waarom mijns inziens ook is voldaan aan de vereisten dat toestemming een op informatie berustende specifieke wilsuiting moet zijn.
De Artikel 29 Werkgroep zegt het volgende over de betekenis van vrije toestemming: “free consent means a voluntary decision by an individual in possession of all his faculties, taken in the absence of coercion of any kind, be it social, financial psychological or other.”95 Vrije toestemming is dus een vrijwillige beslissing, gemaakt door een individu zonder enige druk, waaronder financiële druk. Mijns inziens is de beslissing om toestemming te geven voor verwerking van persoonsgegevens er vaak wel een die genomen wordt onder financiële druk als er korting tegenover staat. Wanneer de korting minimaal is, zal het moeilijker zijn om aan te nemen dat er sprake is van financiële druk, maar hoe hoger de korting, hoe meer financiële druk er is.
In hoofdstuk twee heb ik uitgelegd dat het voor minder kapitaalkrachtigen een moeilijke beslissing zal zijn om geen toestemming te geven omdat die korting een verschil kan maken in bijvoorbeeld hoeveel boodschappen er die maand gedaan kunnen worden. De keuze die in deze gevallen wordt gegeven aan de betrokkene is een take-it-or-leave-it-keuze, net als de voorbeelden van situaties waarin toestemming niet vrij is uit hoofdstuk vier. Dit geeft voor mij nog meer aanleiding om te betwijfelen of in deze situaties toestemming wel vrij kan zijn gegeven. Maar take-it-or-leave it-keuzes leiden er niet altijd toe dat toestemming niet vrij is. Uit de voorbeelden waarin toestemming niet vrij is, maak ik op dat het ook van belang is om te bepalen in welke mate de betrokkenen afhankelijk zijn van datgene wat ze terugkrijgen voor de toestemming om persoonsgegevens te verwerken. Om dit te bepalen vertaal ik de factoren die genoemd zijn om te bepalen of een cookiemuur is toegestaan, naar deze situatie. Zo is de afhankelijkheid groter indien er privacyvriendelijker concurrenten zijn die hetzelfde aanbieden en het een realistische optie is om naar die concurrent te gaan. In het geval van winkels is die afhankelijkheid relatief laag. Natuurlijk heeft iedereen bepaalde spullen nodig. Er zijn echter ook opties om producten nog goedkoper te krijgen dan via een winkel die klanten korting aanbieden als zij de persoonsgegevens van die klanten mogen verzamelen. In het geval van verzekeringen is die afhankelijkheid er wel. Er is geen concurrent die hetzelfde aanbiedt maar wel privacyvriendelijk is, tenzij er verzekeringsmaatschappijen zijn die een lagere premie aanbieden. Bovendien zijn sommige verzekeringen in bepaalde situaties
