Voorbereiding op de nieuwe privacywet AVG | Stap 10: Toestemming

Bron: Autoriteit Persoonsgegevens

Grote kans dat jouw gegevensverwerking gebaseerd is op toestemming van de betrokkenen. De nieuwe privacywet AVG stelt strengere eisen aan deze toestemming. Bekijk daarom goed de manier waarop je toestemming vraagt, krijgt en registreert en pas deze aan indien nodig.

Nieuw in de nieuwe privacywet AVG is dat je moet kunnen aantonen dat je op een geldige manier toestemming hebt gekregen van de betrokkenen om hun persoonsgegevens te verwerken. Maar ook dat het de betrokkenen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Hoewel de AVG niet precies voorschrijft in welke vorm je toestemming moet vragen is de manier waarop wel geboden aan een aantal specifieke eisen.

Rechtsgeldige toestemming voldoet aan de volgende eisen:

  • Vrijelijk gegeven: je mag nooit iemand onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus ook niet toegestaan.
  • Geïnformeerd: je moet mensen informeren over:
  1. de identiteit van jou als organisatie;
  2. het doel van elke verwerking waarvoor je toestemming vraagt;
  3. welke persoonsgegevens je verzamelt en gebruikt;
  4. het recht dat zij hebben om de toestemming weer in te trekken. Je moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat je duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien je als organisatie bij de verwerking meerdere doeleinden hebt, zal je de betrokkene hierover moeten informeren en de betrokkene voor elk doel afzonderlijk toestemming te vragen. Het doel mag niet gaandeweg veranderen.
  • Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
  • Je moet kunnen aantonen dat u geldige toestemming heeft verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

Verantwoordingsplicht

Wil je je baseren op de grondslag toestemming? Zorg er dan voor dat je kunt aantonen dat je die toestemming op de juiste manier hebt gevraagd en gekregen. Onder de AVG heb je namelijk een verantwoordingsplicht.