Toestemming als AVG-grondslag
Het verwerken van informatie over personen mag alleen als daar een grondslag voor is. Een van de mogelijke grondslagen is wanneer de betrokkene (degene wiens persoonsgegevens worden verwerkt) hiervoor toestemming geeft aan de verwerkingsverantwoordelijke. Die laatste is de organisatie onder wiens verantwoordelijkheid de persoonsgegevens worden verwerkt.
4 vereisten voor geldige toestemming
Om te kunnen spreken van geldige toestemming moet volgens de Algemene verordening gegevensbescherming (AVG) aan 4 eisen worden voldaan.
1. Allereerst moet de betrokkene zijn toestemming vrijelijk. Hiervan is sprake als de betrokkene zich niet gedwongen voelt om toestemming te geven.
Wanneer het weigeren of intrekken van toestemming nadelige gevolgen heeft voor de betrokkene en hij er alleen daarom voor kiest zijn toestemming te geven, is er dus geen sprake van een vrije keuze. In de relatie werkgever – werknemer is deze grondslag daarom vaak niet geschikt.
2. Ten tweede moet de betrokkene specifiek met de verwerking van zijn persoonsgegevens instemmen. Dit betekent dat de verwerkingsverantwoordelijke per keer voor één bepaald doel toestemming mag vragen.
Wanneer de verwerkingsverantwoordelijke de persoonsgegevens voor verschillende doelen wil gebruiken, moet hij voor ieder doel dus afzonderlijk toestemming vragen. Algemene toestemming verzoeken is ook niet toegestaan.
3. Ten derde moet de betrokkene vooraf geïnformeerd worden (het transparantiebeginsel). De verwerkingsverantwoordelijke moet de betrokkene tenminste informeren over de identiteit van de organisatie die de gegevens verwerkt, het doel van iedere beoogde verwerking, de soorten persoonsgegevens die worden verwerkt en het recht van de betrokkene om de gegeven toestemming weer in te trekken.
Deze informatie moet in eenvoudige, duidelijke taal en op een overzichtelijke manier worden opgesteld, zodat de betrokkene daadwerkelijk begrijpt waarvoor hij toestemming geeft. Lees hier meer over het transparantiebeginsel.
4. Als laatste moet de betrokkene zijn toestemming ondubbelzinnig. Hij moet door middel van een duidelijke, actieve handeling verklaren dat hij toestemming verleent. Het aanvinken van een vakje door de betrokkene zélf is een voorbeeld van ondubbelzinnige toestemming.
Het gebruik van op voorhand aangekruiste vakjes of het niet reageren op een verzoek tot toestemming door de betrokkene geldt níet als ondubbelzinnige toestemming.
Toestemming voor het verwerken van bijzondere persoonsgegevens
Sommige persoonsgegevens (zoals iemands etnische afkomst, politieke opvattingen, genetische gegevens of seksuele gerichtheid) bevatten gevoelige informatie. Deze bijzondere persoonsgegevens mogen daarom alleen worden verwerkt op basis van uitdrukkelijke toestemming.
Naast de bovengenoemde eisen voor gewone toestemming moet de betrokkene een expliciete verklaring van toestemming geven. Voorbeelden hiervan zijn: een (ondertekende) verklaring op papier of per e-mail, het invullen van een elektronisch formulier, het uploaden van een gescand ondertekend document of een elektronische handtekening.
Bewijs en de mogelijkheid van intrekken
Voor zowel gewone als bijzondere persoonsgegevens geldt dat de verwerkingsverantwoordelijke moet kunnen aantonen dat er geldig toestemming is verleend. Om dit te bewijzen is het daarom nuttig om bijvoorbeeld de toestemming te loggen.
Daarnaast moet de betrokkene zijn verleende toestemming voor ieder type persoonsgegevens te allen tijde weer kunnen intrekken, waarna gegevens niet langer mogen worden verwerkt. Alle verwerkingsactiviteiten die voorafgaand aan de intrekking hebben plaatsgevonden blijven geldig.
Toestemming verleend door kinderen
Kinderen zijn zich mogelijk minder bewust van de risico’s en gevolgen van een gegevensverwerking. Voor verwerking van persoonsgegevens van kinderen jonger dan 16 jaar geldt daarom dat alleen de ouders of verzorgers toestemming mogen geven. De verwerkingsverantwoordelijke moet dan ook controleren of de toestemming daadwerkelijk is verleend door een persoon met ouderlijke verantwoordelijkheid voor het kind.
Hulp nodig bij de AVG?
Wil jij weten of je aan alle vereisten van toestemming voldoet of heb je hulp nodig met het inrichten van het toestemmingsvereiste? Neem dan contact met ons op via info@privacycoaches.nl en wij helpen je hiermee!