Is expliciete toestemming altijd nodig om persoonsgegevens zoals mailadressen te mogen gebruiken onder de AVG?

Is expliciete toestemming altijd nodig om persoonsgegevens zoals mailadressen te mogen gebruiken onder de AVG?

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Als ik iets online bestel word ik vaak door de bezorgdienst gemaild, terwijl ik niet expliciet toestemming heb gegeven aan de webwinkel om mijn e-mailadres aan de bezorgdienst door te geven. Hoe is dat geregeld onder de AVG?

Antwoord: Expliciete toestemming is lang niet altijd nodig om persoonsgegevens zoals mailadressen te mogen gebruiken onder de AVG. Er zijn nog vijf andere grondslagen (zoals dat juridisch heet), waarbij voor deze vraag het meest relevant is de “uitvoering van de overeenkomst” (art. 6 lid 1 sub b AVG).

Kort gezegd, als bepaalde gegevens nodig zijn om een overeenkomst te sluiten of uit te voeren, dan is dat gewoon mogelijk. Apart toestemming vragen is dan dus niet aan de orde. De enige eis is dat je kunt onderbouwen waarom het “noodzakelijk” is dat je die gegevens gebruikt.

Voor “noodzaak” geldt een hoge lat. De gebruikelijke vuistregel is dat het nakomen van de overeenkomst niet haalbaar is als je die gegevens niet hebt. Dat naam en bezorgadres naar de bezorgdienst gaan, lijkt me een mooi voorbeeld: hoe moet dat pakket anders bij de juiste persoon aankomen? Maar een geboortedatum van de klant verstrekken is zelden relevant, behalve wellicht bij levering van alcohol.

Jouw bedrijfsbelang als ondernemer is zeker nog geen noodzaak. Maar een hoop zit daar tussenin. In 2012 oordeelde de rechtbank Utrecht dat het in- en uitchecken bij de ov-chipkaart een “noodzaak” was, hoewel je goed kunt twisten over of dit nou echt de enige manier was om studenten (met vrij reizen product) per trein te vervoeren.

Bij de vraagsteller gaat het om het e-mailadres van de ontvanger. Die krijgt daarop berichten van de vervoerder, zoals “we komen morgen bij u langs” of wellicht opties voor neerzetten of afleveren bij een servicepunt. Erg handig, maar kun je daar spreken van een noodzaak? Ook zonder die mails kan de bezorger prima langskomen zou je zeggen.

Toch valt er goed wat te zeggen voor een noodzaak: anno 2022 is het voor veel mensen zeer wenselijk dat ze een pakket kunnen omleiden of op andere datum kunnen bestellen. Dan moet een goede bezorgdienst daar aan tegemoet komen en dus die opties communiceren, en per e-mail is dan de enige reële manier.

Terzijde, er zijn vele websites die je bij een bestelformulier toestemming laten geven om je gegevens te gebruiken voor de levering. Die hebben het dus niet begrepen. Probeer voor de grap eens na levering en vóór facturatie je toestemming in te trekken, dan komt de boodschap misschien wel over.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Bron: https://www.security.nl/posting/758858/Is+expliciete+toestemming+altijd+nodig+om+persoonsgegevens+zoals+mailadressen+te+mogen+gebruiken+onder+de+AVG%3F?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.