Toestemming voor het verwerken van persoonsgegevens volgens de AVG

Toestemming voor het verwerken van persoonsgegevens volgens de AVG

Vrijwel alle organisaties verwerken persoonsgegevens. Gaat u maar na: vrijwel alle bedrijven houden een klantenbestand bij, doen hun salarisadministratie of verwerken gegevens van websitebezoekers. Deze activiteiten spreken eigenlijk voor zich. Maar mógen die bedrijven dit ook doen?

Algemene verordening gegevensbescherming

Op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) is het alleen toegestaan om persoonsgegevens te verwerken als daar een goede reden voor bestaat. Zo’n reden wordt ook wel ‘grondslag’ genoemd. De AVG geeft zes mogelijke grondslagen. Zonder een wettelijke grondslag is de verwerking van persoonsgegevens in principe onrechtmatig.

In dit blog zal ik stilstaan bij een van de wettelijke grondslagen: de grondslag ‘toestemming’. Eerst bespreek ik wat in de AVG precies onder toestemming wordt verstaan, en vervolgens hoe u in een concreet geval om toestemming kunt vragen.

Toestemming volgens AVG

Toestemming wordt in de AVG in artikel 4 onder 11 gedefinieerd als:

“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt.”

Uit deze definitie kunnen de volgende elementen worden afgeleid: vrijelijk, specifiek, geïnformeerd en ondubbelzinnig. Ik zal deze elementen hieronder bespreken.

1. Vrijelijk

Om te beginnen moet de toestemming vrijelijk gegeven worden. Maar wat betekent dat?

  • De betrokkene mag niet gedwongen worden om toestemming te geven. Met andere woorden: de toestemming mag geen voorwaarde zijn voor iets anders.
  • De betrokkene mag zich ook niet in een afhankelijke positie bevinden ten opzichte van de organisatie die om toestemming vraagt (denk bijvoorbeeld aan de verhouding werknemer – werkgever).
  • De betrokkene moet zijn/haar toestemming kunnen weigeren of intrekken zonder dat dat negatieve gevolgen heeft.

2. Specifiek

Daarnaast moet de toestemming specifiek zien op de bedoelde verwerking. Dit betekent dat in de toestemmingsvraag het specifieke verwerkingsdoel moet worden genoemd. Worden de persoonsgegevens voor meerdere doelen verwerkt? Dan moet voor elk van deze doelen apart toestemming worden gevraagd. Ook als het doel gaandeweg verandert, moet opnieuw toestemming worden gevraagd.

Een voorbeeld van een niet specifieke toestemming is: “Ik geef toestemming om mijn persoonsgegevens te verwerken op de wijze zoals beschreven in de privacyverklaring.”

Een voorbeeld van een specifieke toestemming is: “Ja, ik meld mij graag aan voor de nieuwsbrief.”

3. Geïnformeerd

Een betrokkene kan pas toestemming geven, als hij/zij in heldere taal duidelijk is geïnformeerd over de persoonsgegevens die worden verzameld, het doel van die verwerking en het recht om de toestemming weer in te trekken.

Organisaties zijn op grond van de AVG verplicht om een privacyverklaring op te stellen. In die privacyverklaring informeren zij betrokkenen over de inhoud en het doel van de verwerkingen van de persoonsgegevens.

Let op: voor het verkrijgen van geïnformeerde toestemming is het verwijzen naar uw privacyverklaring niet genoeg! U moet ook bij de toestemmingsvraag de inhoud en het doel van de verwerking toelichten. U mag het dan wel kort houden en daarbij verwijzen naar de uitgebreide toelichting in uw privacyverklaring.

Ondubbelzinnig

Tot slot moet de toestemming ondubbelzinnig worden gegeven. Dit betekent dat uit de toestemmingshandeling (bijvoorbeeld het aanvinken van een venster) duidelijk moet blijken waarvoor de betrokkene toestemming geeft. Zo mag een knop waarmee iemand zich aanmeldt voor een lezing, niet ook de knop zijn waarmee hij/zij toestemming geeft om hem/haar de nieuwsbrief te sturen. Daarvoor moet een aparte knop of een apart aanvinkvakje worden gemaakt, waarbij de betrokkene expliciet, ondubbelzinnig toestemming geeft om hem/haar met dat soort berichten te benaderen. Het gebruik van vooraf aangevinkte vakjes is daarbij niet toegestaan.

Verantwoordingsplicht

Verwerkt u persoonsgegevens op basis van de grondslag toestemming? Dan moet u kunnen aantonen dat u die toestemming op de juiste manier heeft gevraagd én gekregen. Dit wordt ook wel de verantwoordingsplicht genoemd: u moet kunnen aantonen dat u aan de privacyregelgeving voldoet. Het is dus van belang dat u vooraf op de juiste manier om toestemming vraagt én dit goed documenteert.

Toestemming vragen

De AVG schrijft niet voor hoe en in welke vorm u toestemming moet vragen. U mag dus in principe zelf weten hoe u toestemming vraagt, als u maar kunt aantonen dat u op de juiste manier toestemming heeft gevraagd én gekregen.

Afhankelijk van het soort toestemming, het type betrokkene (klanten, werknemers of websitebezoekers) en de branche waarin u werkt kunt u grofweg kiezen tussen een schriftelijke verklaring (die moet worden ingevuld en ondertekend) of een online verklaring, waarbij u gebruik kunt maken van knoppen, links of aanvinkvakjes. Zorg er in dat laatste geval wel voor dat u de vakjes niet vooraf aanvinkt.

Let op: bij kinderen jonger dan 16 jaar is ook de toestemming van een van de ouders of voogd nodig.

Dit artikel is geschreven door Daan Simon, advocaat bij Schenkeveld Advocaten en gespecialiseerd in Ondernemingsrecht, ICT recht, Privacyrecht.

Over Schenkeveld Advocaten

Schenkeveld Advocaten biedt heldere, in de praktijk werkzame oplossingen voor al uw juridische vragen en problemen. Wij luisteren naar onze klanten en verdiepen ons in wat u bezig houdt. Wij denken graag met u mee en vinden persoonlijk contact erg belangrijk. Onze specialisten, advocaten die hun vak verstaan behalen al meer dan 100 jaar veel successen. We blijven constant op de hoogte van relevante ontwikkelingen en lichten u altijd zo duidelijk mogelijk in. Wij zijn werkzaam voor ondernemingen, maatschappelijke- en overheidsinstellingen, verzekeringsmaatschappijen en particulieren.

Bekijk alle berichten van Schenkeveld Advocaten →