AVG: Zo vraag je op de juiste manier om toestemming

Nee, op de grondslag toestemming gegevens verwerken is niet altijd het slimste wat je kunt doen. Maar ja, als er geen andere grondslag is die je kunt gebruiken, dan is het toch wel heel fijn dat je met toestemming overal nog onderuit kunt komen. Hop, even toestemming vragen en klaar. De AVG stelt wel eisen aan die toestemming, dus let even op.

„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

Vrije toestemming

Toestemming moet ‘vrijelijk’ gegeven worden. Ofwel: er mag geen dwang achter zitten, maar toestemming mag ook geen voorwaarde zijn voor iets anders. Dit is waar het fout gaat bij weggevers. Veel mensen en bedrijven eisen dat iemand zich inschrijft op de nieuwsbrief als voorwaarde om de weggever te kunnen ontvangen. De toestemming is dan niet meer vrijelijk gegeven.

Wat niet mag is: “Laat je naam en e-mailadres achter en ontvang dit gratis e-book.” Om iemand vervolgens stiekem op de mailinglist te zetten. Of door anderszins te verplichten akkoord te gaan met inschrijving op de nieuwsbrief.

Wat wel mag is dit: “Schrijf je nu in op onze nieuwsbrief en ontvang ook ons gratis e-book.”

Specifiek

De toestemming moet specifiek zijn. Het moet te onderscheiden zijn van andere aangelegenheden. Dat betekent dat naast de privacyverklaring er een aparte zin opgenomen zal moeten worden waarin uitgelegd wordt waar precies toestemming voor verleend wordt. Bovendien is een algemene toestemming niet toegestaan. Je kunt toestemming voor het ene doel dus niet inzetten voor het gebruik voor een ander doel. Voor elk doel moet apart toestemming worden verleend. (Overigens kan dat ook een goede reden zijn om geen gebruik te willen maken van toestemming. Zie je het al voor je, acht vakjes onder elkaar voor elk doel waarvoor toestemming verleend zou moeten worden, terwijl je ook had kunnen verwerken op basis van de overeenkomst of je gerechtvaardigd belang)

Geïnformeerd

Geïnformeerd wil precies dat zeggen: de betrokkene moet weten waar hij/zij toestemming voor geef en aan wie, welke persoonsgegevens er verwerkt worden, voor welk doel en hoe lang. Bovendien moet er ook geïnformeerd worden over het recht de toestemming weer in te mogen trekken.

Ondubbelzinnig

Voor geldige toestemming is altijd een actieve handeling nodig. Dus geen vooraf aangevinkte vakjes, niet alleen een opt-out aanbieden geen ‘wie zwijgt stemt toe’.

Eenvoudige vorm, gemakkelijke taal

De toestemming moet gevraagd worden in een begrijpelijke, gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal.
Kortom: zorg dat je op een zo eenvoudig mogelijke manier informeert. Gebruik geen wollige taal. Het moet eigenlijk nóg eenvoudiger dan mijn zinnen in deze blogpost.

Toestemming van Kinderen

Vooral als je online om toestemming vraagt en deze toestemming gaat over persoonsgegevens van kinderen tot 16 jaar, dan is er toestemming van de ouders of voogd nodig. Vanaf 16 jaar mogen kinderen juist zelf toestemming verlenen.

Bewijs van toestemming

Als je op basis van toestemming persoonsgegevens verwerkt, moet je die toestemming wel kunnen bewijzen. Hoe je dat doet mag je zelf weten, maar je moet het wel kunnen. Die toestemming zou ook mondeling gegeven mogen worden, maar ja, toon dan maar eens aan dat je de toestemming werkelijk gekregen hebt. Alleen de toestemming zelf aantonen is natuurlijk niet genoeg. Je moet ook aan kunnen tonen waarvoor er dan toestemming zou zijn gegeven. Toestemming moet geïnformeerd en specifiek zijn, dus ook dat moet je aan kunnen tonen.

Toestemming voor verwerking bijzondere persoonsgegevens

Bijzondere persoonsgegevens mogen niet zomaar verwerkt worden. Een mogelijkheid om ze toch te mogen verwerken is door om toestemming voor die verwerking te vragen. In dat geval gelden ook bovenstaande vereisten. Zelfs als je vervolgens op basis van een andere grondslag de persoonsgegevens kunt verwerken.

Toestemming voor commerciële communicatie

De toestemming die je nodig hebt om bijvoorbeeld e-mailnieuwsbrieven te mogen versturen, komt uit de Telecommunicatiewet en niet uit de AVG. De vorm waarin die toestemming gevraagd moet worden en de overige vereisten die erbij horen, daarvoor verwijs de Telecommunicatiewet terug naar (nu nog de Wbp) de AVG.

Lees ook:

About Charlotte Meindersma

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.

Comments

  1. Renske says:

    Dat bewijs van toestemming is een van mijn grootste struikelblokken met betrekking tot de AVG. Het is leuk bedacht, maar ik zie niet hoe dit in de praktijk werkt.

    Als voorbeeld haal ik even de GDPR Forms van MailChimp aan. Nieuwe inschrijvers moeten én een vinkje zetten én op aanmelden klikken. Tja, denk ik dan, waarom dat vinkje? Als iemand op ‘aanmelden’ heeft geklikt, dan is dat toch een actieve handeling geweest? Zeker als die aanmelding ook nog eens bevestigd wordt dmv een dubbele opt-in. En ik weet niet of jullie het al gezien hadden, maar die GDPR-velden zijn zo lek als een mandje: je kunt alsnog zelf een vinkje zetten in het profiel van de gebruiker.

    Dan de bewijslast: hoe toon je aan dat op het moment dat Jantje toestemming gaf, tekst X bij jouw formulier stond? Dat vált toch bijna niet aan te tonen? Je kunt wel een screenshot maken, maar daar kun je ook wel weer mee rommelen. En moet je bij elke wijziging van je tekst boven je formulier iedereen die zich eerder heeft aangemeld weer opnieuw om toestemming vragen?

    In een notendop is misschien wel mijn grootste probleem met de AVG dat er van een heleboel dingen gezegd wordt DAT we het moeten doen, maar niet HOE we het dan moeten doen. Waarom komt de AP niet met een duidelijke, praktische richtlijn zodat we allemaal weer rustig kunnen slapen?

    /end rant

    • Dat komt omdat het je vrij staat dat zelf te regelen. Dit is wat de AP erover zegt:
      “Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met:

      documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt.
      een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming.” en “Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.”

      • Peter Laman says:

        Prachtig, die volzinnen had ik al bij de AP gelezen, maar al die informatie is hoe dan ook te faken. Het is duidelijk dat de bewijslast bij de Gegevensbeheerders ligt. Ik vrees dat we kunnen wachten op de betrokkene die beweert zelf geen toestemming gegeven te hebben, daardoor schade heeft geleden en nu schadevergoeding eist. Wat zegt de AVG daarover?
        De enige sluitende methode lijkt me een electronische handtekening, bv. digID. Ik zie het niet gebeuren.

        • Dan moet er natuurlijk wel sprake zijn van schade, anders kan er geen schadevergoeding gevorderd worden. De AP zou wel boetes op kunnen leggen.

          • Peter Laman says:

            Uiteraard, moet er schade zijn, maar waar het mij om gaat is die bewijslast. Zonder een electronische handtekening zie ik niet in, hoe je ooit de authenticiteit van een toestemming kunt bewijzen.

  2. Hi Charlotte,
    Er is heel veel te doen rondom de AVG, ik merk dat er vanuit voorzichtigheid veel te moeilijke teksten worden voorgesteld. Zie hieronder een voorbeeld dat volgens mij te voorzichtig is (versie A). Volgens mij kan je hetzelfde vragen met versie B en voldoe je daarmee aan de richtlijn van de AVG. Wat vind jij daarvan?

    A – [] Ik geef [bedrijf x] toestemming om mij per e-mail op de hoogte te houden van relevant nieuws, interessante aanbiedingen en up-to-date informatie over vergelijkbare producten en diensten. Ik kan mij op ieder gewenst moment afmelden voor deze e-mails via de link onderin de mails.

    B – [] Ik wil graag de nieuwsbrief, relevante informatie en aanbiedingen van [bedrijf x] ontvangen. Ik kan mij hier op ieder gewenst moment voor afmelden.

  3. Jan van Hoof says:

    Ik zit met een wat bijzondere vraag.
    Hoe zit het toestemmings aspect bij VVE-en.
    Bij een VVE zijn alle appartemtsrechteigenaren automatisch (verplicht) lid van de VVE.
    Daaruit vloeit voort dat diverse gegevens door de VVE worden geregistreerd zoals naam, adres, e-mail adres (voor bijv. het versturen van uitnodigingen en stukken voor vergaderingen etc., telefoonnummers, bankrekeningen (voor het betalen van de service bijdragen) etc.
    Hiervoor is dan toch niet nog eens een schriftelijke toestemming nodig lijkt mij.
    Iets anders is bijv. een nieuwsbrief, daarbij staat het eenieder vrij om er voor te kiezen of niet.

  4. Marieke van der Mooren says:

    Hi Charlotte, hoe lang is zo’n schriftelijke toestemming geldig?

  5. Marcel M. says:

    Hai Charlotte,
    kan men stellen dat wanneer een burger met DigiD op bijvoorbeeld het Digitaal loket van een gemeente heeft ingelogd om een dienst/product van de gemeente af te nemen, dat geen toestemming gevraagd hoeft te worden omdat er sprake is van een wettelijke grondslag?

    • De AVG geeft 6 grondslagen. Een daarvan is een wettelijke verplichting. Die is van toepassing wanneer er een wettelijke verplichting bestaat op basis waarvan je persoonsgegevens wel moet verwerken. Een andere mogelijke grondslag is dat er een taak van algemeen belang of openbaar gezag vervuld moet worden. Daarnaast mag ook niet voor ieder doeleinde een DigiD gevraagd worden, daaraan zitten ook extra regels. Het zal er dus aan liggen voor welke dienst/product de DigiD gevraagd wordt, of er een wettelijke verplichting/taak bestaat en of DigiD voor de uitvoering daarvan überhaupt noodzakelijk is. De gemeente is in ieder geval verplicht te informeren over hun gegevensverwerkingen en dus ook de grondslagen die zij toepassen, bijvoorbeeld in hun privacyverklaring. Waarschijnlijk hebben ze daarin ook de grondslagen al aangegeven.

Speak Your Mind

*