Pragmatisch
Kwaliteit
Flexibel
Relevant

BLOG: Een grabbelton aan grondslagen.

woensdag 18 oktober 2023

Sinds het intreden van de AVG in 2018 proberen bedrijven het uiterste van de wet op te zoeken, om toch met zo min mogelijk aanpassingen te kunnen voldoen aan de eisen van de AVG. Een van de meest prevalente van deze bedrijven is Meta, het moederbedrijf van Facebook. Dit bedrijf wil graag persoonlijke advertenties laten zien, en voor het tonen van deze advertenties heeft ze zich beroepen op meerdere grondslagen. De rechter heeft ondertussen al deze grondslagen verworpen. Maar wat betekenen deze uitspraken daadwerkelijk, en welke mogelijke gevolgen kan dit hebben?

Grondslagen

Allereerst, wat is een grondslag? De AVG eist dat persoonsgegevens alleen verwerkt mogen worden, als hier een goede reden voor is. Deze goede redenen worden grondslagen genoemd. De AVG noemt in artikel 6 zes verschillende grondslagen, namelijk;

  1. 1. U heeft toestemming van de persoon om wie het gaat.
  2. 2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
  3. 3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
  4. 4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
  5. 5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
  6. 6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.

Om persoonsgegevens te mogen verwerken moet een organisatie aan ten minste 1 van deze grondslagen voldoen. Wel zijn er voor deze grondslagen strenge eisen; zo moet in het geval van grondslag 1 bijvoorbeeld ‘ondubbelzinnige, vrijelijk gegeven toestemming’ worden gegeven. Ook geldt voor het vragen van toestemming dat een organisatie altijd aan moet kunnen tonen dat een individu daadwerkelijk toestemming heeft gegeven[1].

De uitspraak

Om na het intreden van de AVG door te kunnen gaan met het aanbieden van persoonlijke reclame, trachtte Meta zich op een van deze grondslagen te beroepen. Eerder probeerde Meta al te claimen dat het tonen van gerichte advertenties deel uitmaakt van de ‘dienst’ die Facebook aanbiedt. Om toestemming te verkrijgen besloot Meta dit op te nemen in haar algemene voorwaarden. Echter voldoet dit niet aan de vereiste van toestemming, zoals beschreven in de AVG, en gingen de Europese toezichthouders hier niet in mee[2]. Ook schaarde Meta het tonen van gepersonaliseerde advertenties als een contractuele noodzakelijkheid,. Eerder dit jaar besloot de Ierse toezichthouder dat van contractuele noodzakelijkheid geen sprake was[3]. Als resultaat van deze uitspraak besloot Meta dat gegevensverwerking plaatsvond onder grondslag 6, gerechtvaardigd belang. Maar, volgens het Europese gerechtshof is het tonen van gepersonaliseerde advertenties geen gerechtvaardigd belang[4], en zal Meta dus stappen moeten maken om te voldoen aan de AVG.

Gevolgen

Deze zaak benadrukt hoe verschillende grondslagen in de AVG geïnterpreteerd moeten worden. Allereerst kan toestemming alleen expliciet verkregen worden. Ten tweede zijn de voorwaarden voor wanneer iets gezien kan worden als ‘noodzakelijk’ of ‘gerechtvaardigd belang’ vrij streng. Deze uitspraak schept een helder beeld van wat er verwacht wordt met deze begrippen, en toont aan dat de AVG niet zomaar te omzeilen is met een paar juridische trucjes. Ook zullen organisaties mogelijk opnieuw moeten beoordelen of ze op dezelfde manieren deze grondslagen toepassen. Indien dit het geval is, zullen ook deze partijen veranderingen moeten doorvoeren.

Verlangt u ondersteuning bij de implementatie van een norm voor privacy en/of informatiebeveiliging, of bij het uitvoeren van interne audits om te bepalen of er wordt voldaan aan de eisen van deze normenkaders?
Neem dan gerust contact op met onze specialisten.