AVG: Zo vraag je op de juiste manier om toestemming
Nee, op de grondslag toestemming gegevens verwerken is niet altijd het slimste wat je kunt doen. Maar ja, als er geen andere grondslag is die je kunt gebruiken, dan is het toch wel heel fijn dat je met toestemming overal nog onderuit kunt komen. Hop, even toestemming vragen en klaar. De AVG stelt wel eisen aan die toestemming, dus let even op.
„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
Vrije toestemming
Toestemming moet ‘vrijelijk’ gegeven worden. Ofwel: er mag geen dwang achter zitten, maar toestemming mag ook geen voorwaarde zijn voor iets anders. Dit is waar het fout gaat bij weggevers. Veel mensen en bedrijven eisen dat iemand zich inschrijft op de nieuwsbrief als voorwaarde om de weggever te kunnen ontvangen. De toestemming is dan niet meer vrijelijk gegeven.
Wat niet mag is: “Laat je naam en e-mailadres achter en ontvang dit gratis e-book.” Om iemand vervolgens stiekem op de mailinglist te zetten. Of door anderszins te verplichten akkoord te gaan met inschrijving op de nieuwsbrief.
Wat wel mag is dit: “Schrijf je nu in op onze nieuwsbrief en ontvang ook ons gratis e-book.”
LawStories in je mailbox?
Specifiek
De toestemming moet specifiek zijn. Het moet te onderscheiden zijn van andere aangelegenheden. Dat betekent dat naast de privacyverklaring er een aparte zin opgenomen zal moeten worden waarin uitgelegd wordt waar precies toestemming voor verleend wordt. Bovendien is een algemene toestemming niet toegestaan. Je kunt toestemming voor het ene doel dus niet inzetten voor het gebruik voor een ander doel. Voor elk doel moet apart toestemming worden verleend. (Overigens kan dat ook een goede reden zijn om geen gebruik te willen maken van toestemming. Zie je het al voor je, acht vakjes onder elkaar voor elk doel waarvoor toestemming verleend zou moeten worden, terwijl je ook had kunnen verwerken op basis van de overeenkomst of je gerechtvaardigd belang)
Geïnformeerd
Geïnformeerd wil precies dat zeggen: de betrokkene moet weten waar hij/zij toestemming voor geef en aan wie, welke persoonsgegevens er verwerkt worden, voor welk doel en hoe lang. Bovendien moet er ook geïnformeerd worden over het recht de toestemming weer in te mogen trekken.
Ondubbelzinnig
Voor geldige toestemming is altijd een actieve handeling nodig. Dus geen vooraf aangevinkte vakjes, niet alleen een opt-out aanbieden geen ‘wie zwijgt stemt toe’.
Eenvoudige vorm, gemakkelijke taal
De toestemming moet gevraagd worden in een begrijpelijke, gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal.
Kortom: zorg dat je op een zo eenvoudig mogelijke manier informeert. Gebruik geen wollige taal. Het moet eigenlijk nóg eenvoudiger dan mijn zinnen in deze blogpost.
Toestemming van Kinderen
Vooral als je online om toestemming vraagt en deze toestemming gaat over persoonsgegevens van kinderen tot 16 jaar, dan is er toestemming van de ouders of voogd nodig. Vanaf 16 jaar mogen kinderen juist zelf toestemming verlenen.
-
Privacyverklaring€ 69,00
Bewijs van toestemming
Als je op basis van toestemming persoonsgegevens verwerkt, moet je die toestemming wel kunnen bewijzen. Hoe je dat doet mag je zelf weten, maar je moet het wel kunnen. Die toestemming zou ook mondeling gegeven mogen worden, maar ja, toon dan maar eens aan dat je de toestemming werkelijk gekregen hebt. Alleen de toestemming zelf aantonen is natuurlijk niet genoeg. Je moet ook aan kunnen tonen waarvoor er dan toestemming zou zijn gegeven. Toestemming moet geïnformeerd en specifiek zijn, dus ook dat moet je aan kunnen tonen.
Toestemming voor verwerking bijzondere persoonsgegevens
Bijzondere persoonsgegevens mogen niet zomaar verwerkt worden. Een mogelijkheid om ze toch te mogen verwerken is door om toestemming voor die verwerking te vragen. In dat geval gelden ook bovenstaande vereisten. Zelfs als je vervolgens op basis van een andere grondslag de persoonsgegevens kunt verwerken.
Toestemming voor commerciële communicatie
De toestemming die je nodig hebt om bijvoorbeeld e-mailnieuwsbrieven te mogen versturen, komt uit de Telecommunicatiewet en niet uit de AVG. De vorm waarin die toestemming gevraagd moet worden en de overige vereisten die erbij horen, daarvoor verwijs de Telecommunicatiewet terug naar de AVG.
-
Privacy (AVG) Masterclass€ 99,00
Lees ook:
