Wilt u uw verwerking baseren op de grondslag toestemming? Bijvoorbeeld omdat u een nieuwsbrief wilt versturen? De Algemene verordening gegevensbescherming (AVG) stelt een aantal eisen aan geldige toestemming. Daar moet u dus op letten als u uw verwerking op de grondslag toestemming wilt baseren.
Eisen aan toestemming
In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.
Toestemming vragen
De Algemene verordening gegevensbescherming (AVG) schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt. Als u maar kunt aantonen dat u daadwerkelijk toestemming heeft gekregen.
Toestemming registreren
Alleen toestemming vragen is niet genoeg. U moet kunnen aantonen dat u daadwerkelijk toestemming heeft gekregen. Daarom is het aan te raden om de toestemming te registreren.
Toestemming intrekken
Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven.
Wat bijvoorbeeld niet mag: mensen kunnen online met één klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief schrijven als zij hun toestemming willen intrekken.
Zorg er dus voor dat mensen hun toestemming net zo eenvoudig kunnen intrekken als dat zij hun toestemming hebben gegeven.
Toestemming bij kinderen
Richt u zich op kinderen (onder de 16 jaar), bijvoorbeeld met een website of app? Of weet u dat veel kinderen er gebruik van maken? Dan moet u controleren of een van de ouders of verzorgers toestemming heeft gegeven. Toestemming van het kind zelf is niet geldig.
Let er ook op dat de AVG kinderen extra goed beschermt tegen marketing. Er gelden bijvoorbeeld strengere regels voor het opstellen van profielen.
Andere grondslagen
Let op: het is een misverstand dat u voor alle verwerkingen van persoonsgegevens toestemming nodig zou hebben. Vaak kunt u uw verwerking baseren op een van de andere grondslagen. Dat biedt een stabielere basis voor uw gegevensverwerking, omdat toestemming kan worden ingetrokken.