U heeft alleen het recht om (gewone) persoonsgegevens te verwerken als u zich kunt baseren op 1 van de 6 grondslagen uit de Algemene verordening gegevensbescherming (AVG). Een van die grondslagen is dat iemand toestemming heeft gegeven om zijn of haar persoonsgegevens te verwerken.
In de AVG staat een aantal eisen waaraan toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.
Eisen aan toestemming
Rechtsgeldige toestemming voldoet aan de volgende eisen:
Vrijelijk gegeven
U mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
Ondubbelzinnig
Er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
Geïnformeerd
U moet mensen vooraf informeren over:
de identiteit van u als organisatie;
het doel van elke verwerking waarvoor u toestemming vraagt;
welke persoonsgegevens u verzamelt en gebruikt;
het recht dat zij hebben om de toestemming weer in te trekken.
U moet de informatie vóór het vragen van toestemming in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.
Specifiek
Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Heeft u meerdere doeleinden om gegevens te verwerken? Dan moet u de betrokkene hierover informeren en voor elk doel afzonderlijk toestemming vragen. Het doel mag niet gaandeweg veranderen.
Toestemming vragen
De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt. Als u maar kunt aantonen dat u daadwerkelijk toestemming heeft gekregen.
Toestemming bij kinderen
De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van een van hun ouders of verzorgers.
Toestemming intrekken
Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven. Zorg er dus voor dat mensen hun toestemming eenvoudig kunnen intrekken.
Wat bijvoorbeeld niet mag: mensen kunnen online met één klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief sturen als zij hun toestemming willen intrekken.
Verantwoordingsplicht
Wilt u zich baseren op de grondslag toestemming? Zorg er dan voor dat u kunt aantonen dat u die toestemming op de juiste manier heeft gevraagd en gekregen. Onder de AVG heeft u namelijk een verantwoordingsplicht.
Meer informatie over toestemming
Meer informatie over toestemming onder de AVG vindt u in de Guidelines toestemming van de Europese privacytoezichthouders.
