De GDPR bepaalt dat het verwerken van persoonsgegevens rechtmatig moet zijn, en gebaseerd kan zijn op een toestemming van de betrokkene.
Een toestemming wordt door de GDPR gedefinieerd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de betrokkene akkoord gaat met een bepaalde vewerking van zijn of haar persoonsgegevens.
Een geldige toestemming is weliswaar onderworpen aan enkele voorwaarden, waar het niet altijd duidelijk is wanneer daaraan voldaan wordt.
Het is aan de verwerkingsverantwoordelijke om aan te tonen dat de betrokkene zijn toestemming heeft gegeven voor bepaalde verwerkingen van zijn of haar persoonsgegevens.
Voorwaarden voor een toestemming
Zoals reeds aangegeven, moet een toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven.
Deze definitie kan in sommige gevallen voor problemen zorgen. Men kan zich o.a. de vraag stellen wanneer de toestemming vrij of geïnformeerd was?
Vrije toestemming
Een toestemming is vrij wanneer ze niet werd bekomen onder dwang of bedreiging.
Wanneer de toestemming zou kaderen in de uitvoering van een overeenkomst moet men rekening houden met een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Bijvoorbeeld wanneer de overeenkomst tussen de verwerkingsverantwoordelijke en de betrokkene vereist dat deze laatste maandelijk een factuur zou ontvangen van de verwerkingsverantwoordelijke, dan kan de betrokkene geen vrije toestemming geven wanneer hem of haar gevraagd wordt naar zijn of haar gezondheidstoestand.
Ook in het kader van een arbeidsovereenkomst kan niet altijd sprake zijn van een vrije toestemming; omdat er in dit geval sprake is van een hiërarchisch gezag.
Toestemming op een specifieke vewerking
Een toestemming moet gegeven zijn voor iedere specifieke verwerking.
Dit betekent dat een toestemming die gegeven werd voor verwerkingsdoel A niet zal gelden voor verwerkingsdoel B, of om het anders uit te drukken, de verwerkingsverantwoordelijke moet voor ieder verwerkingsdoel een toestemming hebben; en dit ook kunnen aantonen.
Dus de gevallen waarbij men een enkele toestemming vraagt voor verschillende verwerkingsdoeleinden voldoet niet aan de vereisten.
Geïnformeerde toestemming
Een gegeven toestemming is enkel geldig indien de betrokkene in een voor hem of haar duidelijke en begrijpbare taal werd ingelicht waarvoor de verwerkingsverantwoordelijke de hem of haar toebehorende persoonsgegevens vraagt, zodat hij of zij geïnformeerd is inzake het doel dat de verwerkingsverantwoordelijke voor ogen heeft met zijn of haar persoonsgegevens.
Dit betekent dat naargelang het niveau en maturiteit van de persoon ook de boodschap naar deze betrokkene toe zal moeten aangepast zijn; dit in het bijzonder wanneer men toestemming aan een kind vraagt.
Expliciete handeling
Een toestemming moet zijn gegeven via een expliciete handeling, zoals het aanvinken van een checkbox in een webformulier.
Echter, soms ziet men nog steeds webformulieren waarbij men toestemming vraagt waarbij alle elementen van het webformulier dat betrekking heeft op persoonsgegevens vooraf zijn aangevinkt.
Dergelijke “toestemmingen” worden niet als expliciete handelingen beschouwd, en zijn daarom geen geldige toestemmingen.
Ook het stilzwijgen of de inactiviteit van de betrokkene mag niet als toestemming worden beschouwd.
Toestemming van wie?
Een van de problemen waar men in sommige omgevingen wordt geconfronteerd is dat een persoon vraagt aan een verwerkingsverantwoordelijke of een verwerker om verwerkingen uit te voeren op de persoonsgegevens of de dossiergegevens met persoonsgegevens van een huisgenoot of familielid.
De vragende persoon geeft dan mondeling “toestemming” om een bepaalde verwerking te laten uitvoeren, die door de verwerkingsverantwoordelijke of de verwerker wordt aanvaard.
Maar is dit wel een geldige toestemming, en indien niet wie moet er dan toestemming geven?
Het antwoord op deze vraag is vrij simpel. Het is de persoon met wiens persoonsgegevens of dossiergegevens men verwerkingen gaat doen die een geldige toestemming moet geven, en niet de persoon die vraagt om met de persoonsgegevens of dossiergegevens van iemand anders iets te gaan doen; tenzij deze laatste persoon daarvoor een volmacht heeft van de eerstgenoemde persoon.
Speciale gevallen
Een speciaal geval, maar vermoedelijk niet daartoe beperkt, betreft toestemming gegeven in het kader van het trainen van AI-systemen.
Vooral de aspecten inzake het specifiek, geïnformeerd en ondubbelzinnig zijn van de toestemming kan hier een probleem vormen.
Ons inziens lijken natuurlijke personen in de huidige evolutie niet in staat te zijn om voor specifieke verwerkingen een geïnformeerd en ondubbelzinnige expliciete toestemming te kunnen geven in het kader van het trainen van GenAI-systemen.
De GDPR vereist immers dat een toestemming dient te worden gegeven voor iedere specifieke verwerking van persoonsgegevens, maar met GenAI weet men niet op voorhand om welke specifieke persoonsverwerking het zal gaan. De data waarvoor toestemming werd gegeven voor een bepaalde verwerking, kan immers achteraf autonoom door het AI-systeem worden gebruikt voor een andere, niet toegestemde, verwerking.
Ook de vereiste dat een betrokkene op ieder ogenblik zijn of haar toestemming moet kunnen intrekken, waarbij verwerkingen die reeds zijn gebeurt tijdens de periode waar er wel een toestemming voor bestaat blijvend zijn, kan voor problemen zorgen.
Hoe kan men na het intrekken van de toestemming door GenAI-systemen autonoom uitgevoerde verwerkingen die intussen ingekapseld zijn in verschillende contexten nog terugdraaien, verdere verwerking van die gegevens blokkeren?
Ons inziens lijkt dit met de huidige kennis en evolutie (nog) niet mogelijk.
Dus het verwerken van persoonsgegevens voor het trainen van AI-systemen zal gebaseerd moeten worden op een andere rechtsgrond dan de toestemming.
Misschien kan het gerechtvaardigd belang van de verwerkingsverantwoordelijk een oplossing zijn; maar deze rechtsgrond geeft ook zo zijn eigen problemen.
Bloep, 27 november 2025.