De artikel-29 werkgroep haar richtlijn voor toestemming (consent) gepubliceerd die begrippen uit de AVG / GDPR verduidelijken. De richtlijn staat nog open voor consultatie en is hier te bekijken.  Algemeen wordt de lat voor het verkrijgen van geldige toestemming hoger gelegd dan de huidige wetgeving onder de Algemene Verordening Gegevensbescherming. Algemeen een must-read voor wie toestemming als grondslag wil hanteren voor de verwerking van persoonsgegevens, maar specifiek een onderdeel lijkt in de opinie benadrukt te worden: het verkrijgen van toestemming als publieke organisatie of werkgever.

De artikel-29 werkgroep benadrukt in de richtlijn dat het verkrijgen van toestemming als grondslag in principe niet mogelijk is voor publieke organisaties en werkgevers. Het is niet uitgesloten dat toestemming als grondslag kan dienen voor gegevensverwerking, maar de richtlijn stelt dat werkgevers en publieke organisaties zich waarschijnlijk tot één van de andere 5 grondslagen moet wenden voor een geldige grondslag.

Recent liet de Autoriteit Persoonsgegevens (AP) zich op dit gebied al zien. In het onderzoek naar BrainCompass werd al geconcludeerd dat toestemming vanwege de onevenwichtige machtsbalans niet mogelijk was. BrainCompass verwerkte gevoelige persoonsgegevens (DNA en gezondheidsgegevens in de vorm van psychologische profielen). Werkgever(s) kregen geen toegang tot deze gegevens. De AP oordeelde dat er door de betaling door werkgever(s) al sprake was van macht en dus nooit sprake kon zijn van vrije toestemming.

Ook eerder, omtrent de verstrekking van de zogenaamde wearables door werkgevers oordeelde de AP extra scherp. Wearables waarmee gezondheidsgegevens verwerkt worden mochten van de AP wel cadeau gegeven worden door de werkgever, maar de werkgever, collega’s en de leverancier van de wearable mogen geen gezondheidsgegevens inzien of verwerken als dit in opdracht van de werkgever gebeurt. Aangezien een (leverancier van een) wearable bijna per definitie gezondheidsgegevens verwerkt kun je deze als werkgever volgens AP dus nooit cadeau geven als werkgever.

Met deze houding van de Autoriteit, de striktere vereisten vanuit de AVG en de opinie van de artikel-29 werkgroep lijkt het duidelijk dat toestemming als grondslag voor werkgevers zelden stand zal gaan houden en onder een vergrootglas ligt, met name in het geval van verwerking van gevoelige persoonsgegevens.

Dit kan nog wel eens flinke impact hebben op recruitment- en ontwikkelingspraktijken die momenteel vaak door bedrijven worden toegepast. Werving of recruitment van personeel neigt naar een zelfde scheve machtsverhouding als die tussen werknemer en werkgever, waarin toestemming geen geldige grondslag voor verwerking kan zijn. Wanneer je dan kijkt naar de huidige markt en opkomende oplossingen voor recruitment en mobiliteit dan zitten daar nogal wat verwerkingen bij waarvoor toestemming na nader onderzoek geen geldige grondslag kan blijken te zijn: pyschologische onderzoeken zoals de aloude assessments en video assessments, waaronder bijvoorbeeld selectie op basis van micro-expressies. Allen verwerken ze gevoelige gegevens (psychologisch onderzoek = gezondheidsgegevens, foto/video herbergt raciale kenmerken en soms gezondheidsgegevens), allen worden ze in opdracht of ten behoeve van de (potentiele) werkgever gedaan waarmee er geen sprake kan zijn van toestemming als grondslag.