Betalen of Toestemming geven: Het juridische strijdtoneel rond betalen met persoonlijke gegevens
Het digitale landschap heeft een nieuw dilemma geïntroduceerd dat organisaties en gebruikers wereldwijd treft: het ‘betalen of toestemmen’-model. Deze praktijk, waarbij platformen gebruikers dwingen te kiezen tussen betalen voor privacy of gratis gebruik met uitgebreide gegevensverzameling, staat centraal in een van de meest complexe juridische discussies van dit decennium. Voor organisaties die te maken hebben met gegevensbeheer en compliance is het essentieel om te begrijpen waarom dit model zo onder vuur ligt.
Wat is het Pay or Consent-model precies?
Het betaal- of toestemmingsmodel, ook bekend als het “Consent or Pay”-systeem, confronteert gebruikers met een ogenschijnlijk eenvoudige keuze bij het gebruik van online diensten. Wanneer iemand zich aanmeldt bij een platform als Facebook of Instagram, verschijnt er een scherm met twee opties:
Optie 1: Vrije toegang waarbij de gebruiker toestemming geeft voor uitgebreide verwerking van persoonlijke gegevens, waaronder het volgen van online gedrag, locatiegegevens en voorkeuren, allemaal gebruikt voor gepersonaliseerde reclame.
Optie 2: Betaalde toegang waarbij gebruikers een maandelijks bedrag betalen (vaak tussen €10-15) voor toegang zonder gepersonaliseerde advertenties en met beperkte gegevensverzameling.
Dit model presenteert zichzelf als transparant en gebruiksvriendelijk – de keuze ligt tenslotte bij de gebruiker. De realiteit van deze “vrije keuze” is echter veel ingewikkelder dan het lijkt.
De economische drijfveren achter het model
Voor platforms als Meta is het pay or consent-model geen willekeurige keuze. Gepersonaliseerde advertenties genereren aanzienlijk hogere inkomsten dan algemene advertenties. Als een platform precies weet waarin een gebruiker geïnteresseerd is, waar hij woont en wat zijn koopgedrag is, kunnen adverteerders veel hogere bedragen betalen voor toegang tot deze doelgroep.
Een algemene advertentie voor sportschoenen levert bijvoorbeeld €0,50 per klik op, terwijl een gepersonaliseerde advertentie voor dezelfde schoenen, getoond aan iemand die onlangs heeft gezocht naar hardloopschoenen, €3,00 per klik kan opleveren. Deze vermenigvuldigingsfactor verklaart waarom platforms zo vastbesloten zijn om hun gegevensverzamelingsmodel te behouden.
De rechtsgrondslagen: Waarom de EDPB ingrijpt
De EDPB-uitspraak: Een juridische mijlpaal
Op 18 april 2024 publiceerde de European Data Protection Board (EDPB) een baanbrekende uitspraak in Opinion 08/2024. Dit document, opgesteld door Europa’s top privacy experts, verklaarde het pay or consent model fundamenteel in strijd met de GDPR.
De EDPB baseerde deze uitspraak op zes cruciale overwegingen die elke organisatie die met datamanagement werkt moet begrijpen:
1. Persoonlijke gegevens als handelswaar: Een fundamenteel probleem
Het eerste en meest fundamentele probleem met het ‘betalen of toestemming’-model is dat het persoonsgegevens behandelt als handelswaar. Door een expliciete prijs te verbinden aan het niet verwerken van persoonsgegevens, worden deze gegevens effectief verhandelbaar.
Dit druist in tegen de kern van de GDPR, die persoonsgegevens beschouwt als een fundamenteel recht dat niet kan worden gekocht of verkocht. Als een platform zegt: “Betaal €12 per maand of we verwerken je gegevens”, wordt privacy een luxeproduct in plaats van een basisrecht.
2. De illusie van vrijwillige toestemming
Voor geldige toestemming onder de GDPR moet er een vrije keuze zijn. De EDPB stelt dat het pay or consent-model deze vrijheid illusoir maakt. Waarom?
Economische dwang: Voor veel gebruikers is €10-15 per maand een aanzienlijk bedrag. Gezinnen met een krap budget hebben in feite geen keuze en worden gedwongen hun privacy op te geven.
Sociale noodzaak: Platformen zoals Facebook zijn zo geïntegreerd in het sociale en professionele leven dat “niet deelnemen” geen realistische optie is. Bedrijven communiceren via WhatsApp Business, families organiseren evenementen via Facebook, professionals netwerken via LinkedIn.
3. Onaanvaardbare schade door uitsluiting
De EDPB erkent dat het niet kunnen deelnemen aan deze platformen onaanvaardbare sociale en economische schade kan veroorzaken. Denk aan:
- Professionals die klanten verliezen omdat ze niet actief zijn op sociale media
- Ouders die belangrijke schoolcommunicatie missen omdat het via Facebookgroepen gaat
- Ondernemers die concurrentievoordeel verliezen omdat ze geen toegang hebben tot sociale-mediamarketing
Ongelijke machtsverhoudingen: De realiteit van platformdominantie
Grote technologieplatforms hebben een oligopolistische marktpositie. Facebook heeft geen echte concurrentie in sociale netwerken, Google domineert zoekopdrachten, Amazon controleert e-commerce. Deze marktdominantie betekent dat gebruikers geen realistisch alternatief hebben.
In een gezonde markt zou een gebruiker die ontevreden is over de privacypraktijken van platform A kunnen overstappen naar platform B. In de realiteit van 2025 betekent wegblijven van Facebook vaak sociale isolatie en wegblijven van Google betekent beperkte toegang tot informatie.
Praktische gevolgen voor organisaties
Wat betekent dit voor uw gegevensbeheer?
Organisaties die gegevensbeheer serieus nemen, moeten begrijpen dat de uitspraak van de EDPB over betaling of toestemming bredere implicaties heeft voor alle vormen van gegevensverwerking:
1. Heroverweging van toestemmingspraktijken
De uitspraak benadrukt dat echte keuze essentieel is voor geldige toestemming. Dit betekent dat organisaties hun eigen toestemmingsmechanismen kritisch moeten evalueren:
- Bieden we gebruikers een realistische keuze om onze service te gebruiken zonder uitgebreide gegevensverwerking?
- Kunnen gebruikers gemakkelijk en zonder nadelige gevolgen hun toestemming intrekken?
- Zijn onze alternatieven voor gegevensverwerking echt gelijkwaardig aan de hoofdoptie?
2. Focus op legitiem belang
Nu toestemming onder druk staat, wordt legitiem belang als rechtsgrondslag belangrijker. Organisaties moeten een zorgvuldige beoordeling van legitieme belangen (LIA) uitvoeren om aan te tonen:
- Dat hun commerciële belang legitiem en concreet is
- Dat er geen minder ingrijpende alternatieven bestaan
- Dat hun belang zwaarder weegt dan de rechten van de betrokkene
- Dat gebruikers voldoende geïnformeerd zijn en bezwaar kunnen maken
3. Implementatie van ingebouwde privacy
Het debat over betalen of toestemming benadrukt het belang van ingebouwde privacy. In plaats van privacy te behandelen als een toevoeging, moeten organisaties hun systemen ontwerpen met privacy als uitgangspunt:
- Gebruik gegevensminimalisatie: verzamel alleen wat echt nodig is
- Doelbeperking implementeren: gegevens alleen gebruiken voor het vermelde doel
- Duidelijke opt-out mechanismen in alle processen inbouwen
- Transparantie creëren via begrijpelijke privacydashboards
De wet digitale markten: Een tweede juridisch front
DMA vs. GDPR: Verschillende wapens, dezelfde strijd
Naast de GDPR speelt de Digital Markets Act (DMA) een cruciale rol in de strijd tegen het pay or consent-model. Waar de GDPR zich richt op individuele privacyrechten, richt de DMA zich op marktmacht en concurrentie.
Artikel 5(2) DMA verbiedt het combineren van persoonsgegevens tussen verschillende diensten zonder uitdrukkelijke toestemming. Voor Meta betekent dit dat Instagram-gegevens niet automatisch mogen worden gecombineerd met WhatsApp-gegevens voor reclamedoeleinden.
Artikel 6(10) DMA stelt dat toestemming moet voldoen aan de GDPR-normen, waardoor de twee regelgevingskaders met elkaar worden verbonden.
Financiële impact: Waarom sancties belangrijk zijn
De DMA heeft aanzienlijk zwaardere sanctiemogelijkheden dan de GDPR:
- Initiële boetes tot 10% van de wereldwijde jaaromzet
- Herhaalboetes tot 20% van de wereldwijde jaaromzet
- Dagelijkse boetes tot 5% van de dagelijkse wereldwijde omzet
Voor Meta, met een jaarlijkse omzet van ongeveer €120 miljard, kunnen deze boetes oplopen tot €16 miljoen per dag. Deze bedragen zijn zo hoog dat ze gedragsverandering kunnen afdwingen.
De eerste DMA-boete: een precedent
Op 22 april 2025 kreeg Meta de eerste boete onder de DMA: €200 miljoen voor het pay or consent-model. Belangrijker nog, de Europese Commissie kondigde aan dat er dagelijkse boetes zouden volgen als de praktijken zouden worden voortgezet.
Deze boete is niet alleen een financiële sanctie, maar ook een juridisch precedent dat aantoont dat Europa bereid is om daadwerkelijk op te treden tegen grote tech-platforms.
Praktische implementatie: Wat moet uw organisatie doen?
1. Audit van huidige praktijken
Begin met een grondige audit van uw huidige gegevensverwerkingspraktijken:
Toestemmingspraktijken evalueren:
- Hoe vraag je gebruikers om toestemming?
- Bieden jullie realistische alternatieven voor gebruikers die geen toestemming willen geven?
- Kunnen gebruikers hun toestemming gemakkelijk intrekken zonder functionaliteit te verliezen?
Controleer documentatie:
- Zijn uw verwerkingsdoeleinden specifiek en beperkt geformuleerd?
- Hebt u een geldige wettelijke basis voor elke verwerkingsactiviteit?
- Zijn je bewaartermijnen gerechtvaardigd en gedocumenteerd?
2. Ontwikkeling van alternatieve modellen
Freemium zonder gegevensverwerking: Bied een gratis basisversie die functioneert zonder uitgebreide gegevensverwerking, en een betaalde versie met extra functionaliteiten (geen privacy).
Op context gebaseerde advertenties: Gebruik in plaats van gepersonaliseerde advertenties advertenties op basis van de inhoud die de gebruiker bekijkt, zonder tracking.
Transparante waarde-uitwisseling: Als je gegevens gebruikt voor dienstverlening, maak dit dan duidelijk en laat concrete voordelen voor de gebruiker zien.
3. Rechtsgrondslag Optimalisatie
Beoordeling legitiem belang: Gedetailleerde LIA’s ontwikkelen voor alle verwerkingsactiviteiten die niet gebaseerd zijn op toestemming:
- Documenteer waarom je belang legitiem is
- Laat zien dat er geen minder ingrijpende alternatieven bestaan
- Bewijs dat de afweging in jouw voordeel uitvalt
- Bied duidelijke opt-out mogelijkheden
Toestemming Optimalisatie: Voor verwerkingsactiviteiten waarvoor toestemming is vereist:
- Gebruik duidelijke, niet-juridische taal
- Maak toestemming granulair (apart voor elk doel)
- Eenvoudige opnamemogelijkheden implementeren
- Controleer regelmatig of de toestemming nog geldig is
4. Technische implementatie
Privacy-dashboards: Ontwikkel gebruiksvriendelijke dashboards waarop gebruikers kunnen zien:
- Welke gegevens u van hen verwerkt
- Voor welke doeleinden wordt dit gebruikt
- Hoe lang je het vasthoudt
- Hoe ze hun instellingen kunnen aanpassen
Geautomatiseerde privacycontroles: Systemen implementeren die automatisch:
- Signaal verlopen toestemmingen
- Bewaarperioden controleren
- Herinner gebruikers aan hun privacy-instellingen
- Verwerk opt-out verzoeken
5. Organisatorische maatregelen
Privacybeheer:
- Duidelijke verantwoordelijkheden toewijzen voor privacy compliance
- Regelmatige privacyeffectbeoordelingen uitvoeren
- Maak escalatieprocedures voor privacyincidenten
- Zorg voor regelmatige training van het personeel
Communicatie met belanghebbenden:
- Ontwikkel duidelijke communicatie naar klanten over privacywijzigingen
- Processen creëren voor het afhandelen van privacyklachten
- Transparante rapportage over privacypraktijken garanderen
De toekomst van digitale privacy
Wat verwachten we?
Het debat over betalen of toestemming is symptomatisch voor een fundamentele verschuiving in hoe we denken over digitale privacy. Het tijdperk waarin platformen onbeperkte toegang hadden tot gebruikersgegevens in ruil voor “gratis” diensten loopt ten einde.
Verwachte ontwikkelingen:
Strengere handhaving: Europese toezichthouders zullen waarschijnlijk agressiever optreden tegen platformen die geen echte keuze bieden.
Technologische innovatie: Er zal meer worden geïnvesteerd in technologieën die de privacy beschermen, zoals gefedereerd leren en gedifferentieerde privacy.
Nieuwe bedrijfsmodellen: Bedrijven zullen creatievere manieren moeten vinden om waarde te creëren zonder uitgebreide gegevensverwerking.
Bewustzijn van de gebruiker: Consumenten worden zich steeds meer bewust van de waarde van hun gegevens en eisen meer controle.
Voorbereiden op de toekomst
Voor organisaties betekent dit dat investeren in privacyvriendelijke praktijken niet alleen wettelijk noodzakelijk is, maar ook een concurrentievoordeel kan opleveren. Bedrijven die al werken aan transparante, gebruikersvriendelijke privacypraktijken zullen beter gepositioneerd zijn wanneer de regelgeving verder wordt aangescherpt.
Strategische aanbevelingen:
- Investeer in gegevens van de eerste partij: Focus op het opbouwen van directe klantrelaties in plaats van afhankelijkheid van tracking door derden
- Privacyvriendelijke innovaties ontwikkelen: Zoek naar manieren om waarde te creëren die privacy respecteren
- Vertrouwen opbouwen: Transparantie en eerlijkheid in gegevenspraktijken worden steeds waardevoller
- Inkomstenstromen diversifiëren: Verminder de afhankelijkheid van datagestuurde reclame
Conclusie: Navigeren door het tijdperk na betaling of toestemming
Het ‘betalen of toestemming’-model is meer dan een juridische discussie – het is een kantelpunt in de digitale economie. De uitspraak van de EDPB en de handhaving van de DMA markeren het einde van een tijdperk waarin platforms gebruikers konden dwingen om te kiezen tussen privacy en toegang.
Voor organisaties die te maken hebben met gegevensbeheer betekent dit een kans om voorop te lopen in plaats van te reageren. Door nu privacyvriendelijke praktijken te implementeren, creëert u niet alleen rechtszekerheid, maar ook een concurrentievoordeel in een wereld waarin privacy steeds waardevoller wordt.
De les van het debat over betalen of toestemming is duidelijk: echte keuze is essentieel voor geldige toestemming. Organisaties die dit principe omarmen en in hun werkwijzen inbouwen, zullen niet alleen compliance bereiken maar ook het vertrouwen winnen van gebruikers die zich steeds meer bewust worden van de waarde van hun privacy.
De strijd om het pay or consent-model is nog niet gestreden, maar de richting is duidelijk. Privacy is geen product dat verkocht moet worden, maar een fundamenteel recht dat gerespecteerd moet worden. Organisaties die dit begrijpen en ernaar handelen, zullen het best gepositioneerd zijn voor de toekomst van de digitale economie.
RealCob: Praktische naleving in het tijdperk na betaling of toestemming
Het debat over betalen of toestemming toont aan dat moderne gegevensbescherming meer vereist dan alleen juridische kennis – het vereist een geïntegreerde aanpak die naleving combineert met operationele efficiëntie. RealCob helpt organisaties deze uitdagingen proactief aan te gaan door de complexe lessen uit dit debat te vertalen naar praktische actie.
Met RealCob ontwikkel je transparante toestemmingspraktijken die echte keuze bieden in plaats van valse alternatieven. De software faciliteert gedetailleerde Legitimate Interest Assessments (LIA’s) en documenteert alternatieve verwerkingsgronden, zodat je niet afhankelijk bent van gedwongen toestemming. De geïntegreerde GDPR- en NIS2-modules zorgen ervoor dat je gegevensbeheer voldoet aan zowel privacyvereisten als cyberbeveiligingsverplichtingen.
Door automatische signalering van bewaartermijnen, voortdurende controle op naleving en gebruiksvriendelijke privacydashboards creëer je een systeem waarin transparantie centraal staat. Deze proactieve aanpak helpt u vooruit te kijken en problemen te voorkomen, in plaats van juridische problemen achteraf op te lossen.
Bouw vandaag nog aan een organisatie die privacy hoog in het vaandel heeft staan en die klaar is voor strengere handhaving en meer kritische gebruikers. RealCob begeleidt u naar een compliance die verder gaat dan alleen wettelijke naleving – het wordt een concurrentievoordeel in een markt waar vertrouwen de nieuwe norm is.