Wat is opt-out-toestemming?

Opt-out-toestemming wordt gekenmerkt door een systeem waarbij gebruikers geen actieve toestemming hoeven te geven voordat hun gegevens worden verwerkt; in plaats daarvan moeten ze actie ondernemen om toestemming te weigeren of in te trekken. Bijvoorbeeld, vooraf aangevinkte selectievakjes voor nieuwsbriefinschrijvingen of standaarddeelname aan gegevensverzamelingspraktijken illustreren deze aanpak (O’Connor et al., 2017). In de context van wettelijke kaders verplicht de California Consumer Privacy Act (CCPA) bedrijven om consumenten een duidelijk mechanisme te bieden om zich af te melden voor de verkoop van hun persoonlijke informatie, maar het vereist geen expliciete voorafgaande toestemming voor het verzamelen of delen van gegevens (CCPA, 2018).

Resultaten uit empirische studies geven aan dat opt-out-toestemmingsmodellen doorgaans resulteren in hogere percentages van gegevensverzameling en gebruikersparticipatie als gevolg van inertie of een gebrek aan bewustzijn (Nissenbaum, 2011). Dit werd benadrukt in een experiment van Johnson et al. (2002), waar standaardinstellingen leidden tot aanzienlijk hogere acceptatiepercentages voor het delen van gegevens in vergelijking met opt-in-mechanismen. Het ontbreken van een actieve keuze vertekent de resultaten in het voordeel van de belangen van de gegevensbeheerders.

In tegenstelling hiermee handhaaft de AVG in de Europese Unie een strikt opt-in-model, dat expliciete, geïnformeerde en ondubbelzinnige toestemming vereist voordat persoonsgegevens worden verwerkt of cookies op de apparaten van gebruikers worden geplaatst. Gebruikers moeten actief hun voorkeuren selecteren, en vooraf aangevinkte vakjes zijn expliciet niet toegestaan (AVG Artikel 7). De mogelijkheid om toestemming op elk moment in te trekken is ook verplicht, wat de autonomie van de gebruiker versterkt.

Vergelijkende analyse tussen opt-in- en opt-out-modellen onderstreept verschillende kritieke punten:

• Gebruikersbewustzijn: Opt-out-modellen leiden vaak tot een lager gebruikersbewustzijn en minder betrokkenheid bij privacykeuzes (Symons & Bass, 2017).
• Geldigheid van toestemming: Juridische experts beweren dat opt-out-toestemming niet voldoet aan de norm voor “geïnformeerde” of “vrijelijk gegeven” toestemming onder de AVG.
• Bedrijfsimpact: Organisaties die de voorkeur geven aan opt-out-modellen noemen hogere conversiepercentages en eenvoudigere naleving onder op de VS gerichte kaders zoals de CCPA.
• Gebruikerscontrole: Opt-in zorgt voor meer controle voor de gebruiker, maar kan de deelname of zakelijke kansen verminderen door toegenomen frictie.

Samenvattend blijft opt-out-toestemming gangbaar in rechtsgebieden met minder strenge privacyvereisten, zoals onder de CCPA, waar de nadruk ligt op het recht van consumenten om bezwaar te maken in plaats van op actieve instemming. Omgekeerd is het opt-in-regime van de AVG meer beschermend voor de autonomie en privacy van de gebruiker, omdat het gegevensbeheerders dwingt om expliciete toestemming te verkrijgen voorafgaand aan enige gegevensverwerkingsactiviteit.