Je vraagt geen akkoord op privacyverklaringen, maar hoe moet het dan wel?

29/01
Een lezer vroeg me:
Ik ben bestuurder van een stichting die lotgenoten van een medische aandoening wil helpen. Hiertoe koppelen wij patiënten aan buddy’s, en wij hebben een portaal ingericht waar je je aan kunt melden. Momenteel staat daar “Ik ga akkoord met de privacyverklaring”, maar ik had begrepen dat dat niet genoeg is. Hoe moet het wel?
Al geruime tijd roep ik inderdaad dat mensen op moeten houden met akkoord vragen op privacyverklaringen. De achterliggend gedachte is dat een privacyverklaring een toelichting is. Zie het als de bijsluiter bij medicatie: daarin staat vooral details zoals hoe vaak innemen, bijwerkingen en wat als je een dosis gemist hebt.

Wat het medicijn doet en hoeveel je moet nemen, staat op de doos (en zegt de apotheker). Hier ook: je moet dus op het formulier aangeven waarom je die gegevens vraagt en wat daarmee gebeurt. Die tekst kun je dan laten verwijzen naar de privacyverklaring (“voor meer informatie, zie”) maar alléén een “zie de privacyverklaring voor wat we doen met je gegevens” is niet genoeg.

Akkoord vragen is dus irrelevant: dit gaat om informeren en toelichten, niet om de AVG-toestemmingsvraag.

Natuurlijk kan het zijn dat je de gegevens verwerkt op basis van toestemming als AVG-grondslag. In dat geval heb je een toestemmingsvraag nodig, maar ook dan verwijs je niet naar de privacyverklaring want daarin kan geen toestemmingsvraag staan en de inhoud van de verklaring is geen deel van de vraag.

Bij mensen met elkaar in contact brengen is toestemming denk ik de enige mogelijke grondslag. Specifiek bij een contactformulier kun je je echter afvragen of je nog wel een aparte vraag nodig hebt. De strekking van het formulier is immers duidelijk: deze gegevens gaan naar potentiële buddy’s (of jouw gegevens als buddy naar een patiënt die bij jou zou passen), dus hoe kun je invullen en opsturen anders opvatten dan een toestemming, een “Ja graag, doe maar”.

Arnoud

Het bericht Je vraagt geen akkoord op privacyverklaringen, maar hoe moet het dan wel? verscheen eerst op Ius Mentis.

Datum: maandag 29 januari 2024, 08:13
Bron: Iusmentis Blog
Categorie: Internet en ICT

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry