Opinie
De administratie van toestemming
Door ons en vele anderen is uitvoerig geschreven over toestemming als grondslag. Over dat toestemming als grondslag het laatste redmiddel is. Op andere blogs lees je vooral ook veel over dat die toestemming 'vrijelijk' moet zijn: geinformeerd, ondubbelzinnig, zonder dwang. Vermoedelijk is toestemming een van de moeilijkste onderwerpen van de AVG.
De discussie die ik minder vaak hoor is hoe onhandig toestemming is om mee te werken. De AVG gaat immers veel verder dan het vragen om toestemming. Je moet die toestemming administreren (art. 7 lid 1). Je moet er op voorbereid zijn dat de betrokkene zijn toestemming op ieder moment kan intrekken en vanaf dat moment dus jouw grondslag wegneemt. Elke keer als ik ergens lees dat toestemming nodig is, vraag ik me af of die administratie ook echt gevoerd wordt en wat er gebeurt bij intrekking.
Het meest recente voorbeeld is de Boxmeerse Kermis. Ook hier kunnen we discussieren over de vraag of toestemming wel nodig is: als publicatie plaatsvindt voor een journalistiek doel zitten we in de uitzonderingen van art. 43 UAVG.
Interessanter vind ik echter de vraag hoe die toestemming dan praktisch zou moeten werken voor zo'n site. Er is (neem ik aan) geen gedocumenteerde relatie tussen Boxmeer en de kermisbezoekers - geen dossier waarin je de toestemming kunt vastleggen zoals je dat bij verenigingen, scholen en zorginstellingen ziet. Hoe dan wel?
Zou er dan echt een Excel-lijstje moeten zijn met per foto de herkenbare betrokkenen, waarbij we bijhouden welke betrokkene toestemming heeft gegeven? Hoe weten we dan wie die betrokkenen zijn - hoe stellen we hun identiteit vast om hen te kunnen benaderen? Willen we dan ook bewijs van de toestemming, bijvoorbeeld als een mailtje? Is er dan iemand die controleert of alle (herkenbare) betrokkenen toestemming hebben gegeven voordat een foto online gaat? Hoe werkt het proces voor intrekking, als iemand bij nader inzien geen zin meer heeft om op die site te staan? Gaat de betreffende foto er dan ook weer af? Als toestemming de grondslag is voor publicatie, is het dan ook de grondslag voor de opslag? Zou dat dan ook betekenen dat de foto weggegooid wordt als een van de betrokkenen toestemming intrekt?
Zoveel vragen. Nogmaals: het gaat me niet om de vraag of toestemming de juiste grondslag voor deze verwerking is. Ik vraag me af hoe je denkt dit alles praktisch te regelen als je denkt dat toestemming de oplossing is. Als we kennelijk makkelijk grijpen naar toestemming, moeten er toch ook vele praktische oplossingen zijn. Waarom lees ik daar niets over?
Overigens: het bord met "u kunt worden gefotografeerd" lijkt mij problematisch als oplossing voor toestemming, gezien het feit dat die expliciet en aantoonbaar gegeven moet zijn. Nog een vraag er bij: wat probeert dat bord op te lossen?