Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    AVG | Toestemming
    Persoonsgegevens kunnen onder meer op basis van toestemming worden verwerkt. De toestemming moet vrijelijk, ondubbelzinnig, geïnformeerd en specifiek zijn.

    De Algemene verordening gegevensbescherming (AVG) schrijft voor dat persoonsgegevens alleen mogen worden verwerkt als daarvoor een wettelijke grondslag bestaat. Eén daarvan is toestemming van de betrokkene (artikel 6 lid 1 sub a AVG).

    Wat is toestemming?

    Toestemming is volgens de AVG: een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van een verklaring of actieve handeling, instemt met de verwerking van zijn of haar persoonsgegevens voor één of meer specifieke doeleinden (art. 4 onder 11 AVG, EDPB Guidelines 05/2020).

    De vier pijlers van toestemming

    • Vrijwil​lig: De betrokkene kiest echt zélf, zonder druk of negatieve gevolgen. Toestemming is meestal niet geldig in situaties van afhankelijkheid, zoals tussen werkgever en werknemer of overheid en burger. Ook zogenaamde “dark patterns” – manipulerende ontwerpkeuzes in digitale interfaces – kunnen geldige toestemming in de weg staan.

    • Specifiek: De betrokkene moet per doel toestemming geven. Bundeling of vage doeleinden zijn onvoldoende.

    • Geïnformeerd: Goede informatie vooraf is verplicht. De betrokkene weet wie de gegevens verwerkt, voor welke doeleinden en om welke soorten gegevens het gaat. Alleen open, heldere taal volstaat.

    • Ondubbelzinnig: Toestemming vereist altijd een actieve handeling: zelf aanvinken, klikken of configureren. Vooraf aangevinkte vakjes, stilzwijgen of inactiviteit betekenen géén geldige toestemming (Planet49-arrest, C‑673/17).

    Let op: De verwerkingsverantwoordelijke draagt de bewijslast om aan te tonen dat aan álle voorwaarden is voldaan (verantwoordingsplicht, art. 7 lid 1 AVG).

    Intrekking en negatieve gevolgen

    Toestemming moet net zo makkelijk te intrekken zijn als te geven. Besluit iemand geen toestemming te geven of deze in te trekken, dan mogen hieraan geen nadelige gevolgen worden verbonden, zoals uitgesloten toegang of betaling voor reguliere diensten.

    Toestemming door kinderen

    Voor kinderen jonger dan 16 jaar is toestemming alleen geldig als die wordt verleend door een ouder of wettelijke vertegenwoordiger (art. 8 AVG). Dit geldt vooral bij diensten van de informatiemaatschappij, maar door de AVG-brede kindbescherming is voorzichtigheid breder geboden.

    Bijzondere persoonsgegevens

    Voor bijzondere categorieën van persoonsgegevens – bijvoorbeeld medische, rasgerelateerde of biometrische gegevens – is uitdrukkelijke toestemming vereist (art. 9 AVG, par. 3.1 UAVG). Let op de actuele rechtspraak over biometrie en internationale doorgifte, waarin streng wordt getoetst of daadwerkelijke uitleg en risico’s duidelijk zijn gecommuniceerd aan de betrokkene.

    Praktijkvoorbeelden en handhaving

    • Cookies & tracking: Alleen actieve en vrije keuze geldt. Een cookiemuur (toestemming verplicht voor toegang) mag niet, tenzij er écht alternatieven zijn.

    • Verzameling ID-bewijzen: Mag nooit standaard: vraag actief, geef uitleg en beperk verwerking.

    • Sociale media en AI: Nieuwe EDPB-richtsnoeren verbieden het creëren van “misleidende” toestemmingsschermen (‘dark patterns’), onder meer bij AI-systemen, profiling en gepersonaliseerde advertenties.

    Recent: Rechtbanken hanteren een strenge interpretatie van toestemming en toetsen nauwgezet op informatievoorziening en de daadwerkelijke keuzevrijheid, zie o.a. uitspraken over tracking cookies, medische gegevens en kind/toestemming (Rb. Noord-Nederland, ECLI:NL:RBNNE:2025:187; Rb. Amsterdam, ECLI:NL:RBAMS:2025:885).

    Subsidiariteit, proportionaliteit en alternatieven

    De toestemmingsgrondslag is niet altijd de beste of meest praktische keus. Vaak zijn andere AVG-grondslagen, zoals uitvoering van een overeenkomst of wettelijke verplichting, stabieler en minder risicovol. Iedere verwerkingsgrondslag vereist een toets op proportionaliteit en subsidiariteit: is dit de minst ingrijpende manier en staat de verwerking in redelijke verhouding tot het doel?

    Extra tips voor praktijk en compliance

    • Zorg voor beknopte, transparante en vindbare toestemmingsformulieren.

    • Documenteer het gehele toestemmingsproces, van informatie tot intrekking.

    • Houd toezicht op de effectiviteit van de digitale omgeving: maak gebruik van privacy by design en voorkom nudges en dark patterns.

    • Herzie periodiek het toestemmingsdossier: jurisprudentie en EDPB‑richtsnoeren ontwikkelen zich snel.

    Bijzondere categorieën van persoonsgegevens

    Organisaties die bijzondere categorieën van persoonsgegevens verwerken, zoals gezondheidsgegevens, moeten kunnen aantonen dat er uitdrukkelijke toestemming is gegeven, zie art. 9 AVG en par. 3.1 UAVG. Voor meer informatie over de verwerking van gezondheidsgegevens zie het boek Privacy in de zorg, 2.4.1, verkrijgbaar via het Data&Privacyweb Pro en Expert lidmaatschap en in onze bookshop.

    Voorbeelden uit de praktijk

    Cookie tracking op website (Planet49-arrest)
    Verzamelen en bewaren van kopieën van identiteitsbewijzen     (Orange România)

    Uitdrukkelijke toestemming bij bijzondere gegevens of strafrechtelijke gegevens (GC/CNIL)
    Geen toestemming nodig, andere grondslag

    Verder leren

    Actualiteitencursus AVG

    Actualiteiten AVG en Privacy recht

    Krijg aan de hand van jurisprudentie, adviezen en besluiten van de AP en opinies en guidelines van de EDPB een compleet en helder beeld hoe nadere invulling wordt gegeven aan de veelal open normen in de AVG en de UAVG.

    Meer informatie

    Checklist Privacy AVG: privacybeleid in 57 checklists

    Bekijk boek

    Wwft en AVG: het spanningsveld en de naleving in de praktijk

    De Wwft verplicht organisaties om allerlei informatie over hun klanten vast te leggen in het kader van het cliëntenonderzoek. De AVG vraagt juist om zo min mogelijk gegevens te verzamelen. Hoe ga je hier in de praktijk mee om? In deze cursus staan we stil bij wat er wel en niet mogelijk is, zodat je hier in jouw praktijk een goede afweging in kunt maken.

    Meer informatie

    Nieuw

    AP wijst politieke partijen op nieuwe regels voor online politieke reclame

    Nieuws-persbericht

    AP bezorgd over AI-training LinkedIn en roept gebruikers op om instellingen aan te passen

    Nieuws-persbericht

    Vier best practices voor privacy by design en privacy by default

    Blog

    Nieuwe Dataverordening treedt in werking: grote gevolgen voor bedrijven en aanbieders van digitale diensten

    Nieuws-persbericht

    Meest gelezen

    Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

    Blog

    AP bezorgd over AI-training LinkedIn en roept gebruikers op om instellingen aan te passen

    Nieuws-persbericht

    Nieuwe Dataverordening treedt in werking: grote gevolgen voor bedrijven en aanbieders van digitale diensten

    Nieuws-persbericht

    Vier best practices voor privacy by design en privacy by default

    Blog

    Uitgelicht

    Hoe krijgt u uitdrukkelijke toestemming?

    Vraag & Antwoord

    AP publiceert voorbeeldbrief voor intrekken toestemming kind

    Publicatie

    Cookiebeleid Google en Facebook leidt tot Franse miljoenenboetes

    Artikel

    Diploma-uitreiking via een livestream. Kan dat zomaar?

    Artikelen

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2025 Berghauser Pont | Website gemaakt door Buro Zero