Toestemming

door | 30 april 2019

Hoe kunnen we helpen?

Created On
byRedactie Privacy Zeker
Print
Je bent hier:
< Terug naar handboek

Wanneer moet ik toestemming vragen?

Voor sommige verwerkingen van persoonsgegevens moet je toestemming vragen. Bijvoorbeeld wanneer je:

  • bijzondere persoonsgegevens verwerkt (en geen andere geldige reden hebt waarom je deze kunt verwerken);
  • gebruik maakt van profilering (zie voor meer informatie ‘profilering’);
  • gebruik maakt van direct marketing (zie voor meer informatie ‘direct marketing’);
  • als je gebruik maakt van een nieuwsbrief;
  • online diensten zoals webwinkels, een platform of sociale media aanbiedt en de betrokkene nog geen 16 jaar oud is.

Waar moet de toestemming aan voldoen?

De toestemming moet aan verschillende eisen voldoen:

  • Vrije wil. De toestemming moet je hebben gekregen zonder de betrokkene onder druk te zetten. Je mag hem niet dwingen (direct of indirect) om persoonsgegevens af te geven. Let op bij afhankelijkheidssituaties, bijvoorbeeld bij werkgevers wordt toestemming uit vrije wil niet snel aangenomen.  Daarnaast is er geen sprake van vrije wil als de betrokkene wordt benadeeld. Dit kan gebeuren als er om bepaalde persoonsgegevens wordt gevraagd die niet nodig zijn, maar dat het geven van deze persoonsgegevens wel als voorwaarde geldt voor de dienst dat wordt aangeboden.
  • Uitdrukkelijk. Voor geldige toestemming heb je de uitdrukkelijke instemming nodig van de betrokkene. Dit mag schriftelijk (digitaal of papier) of mondeling. Zorg dat je hiervoor een procedure opzet die je altijd volgt. Uiteraard is mondelinge toestemming achteraf lastig te bewijzen. Zorg dat je een manier hebt om de afgegeven toestemming te bewaren. Bij online toestemming kun je de gegevens over het websitebezoek vastleggen. Let op bij online toestemming, gebruik maken van vooraf automatisch ingevulde vinkjes zijn niet toegestaan. De betrokkene moet dit zelf aanvinken.
  • Geïnformeerd. Je moet de betrokkene informeren over:
    • de naam van je onderneming;
    • het doel van de verwerking waarvoor je toestemming vraagt;
    • welke persoonsgegevens je gebruikt en verzamelt;
    • het recht dat de betrokkene heeft om de toestemming weer in te trekken.

De informatie moet op een begrijpelijke manier gedeeld worden, dus in eenvoudige en duidelijke taal. Leg deze informatie ook vast, je moet namelijk kunnen laten zien op basis van welke informatie de betrokkene de toestemming heeft gegeven.

  • Specifiek. Het moet duidelijk zijn waarvoor je toestemming vraagt. Je moet concreet aangeven voor welk doel of welke doelen je de gegevens verwerkt. Let op dat je niet zoveel informatie geeft zodat het niet meer duidelijk is en voorkom vaag taalgebruik. Meer uitgewerkte informatie neem je doorgaans op in het privacyreglement. Je mag het doel waarvoor je de toestemming vraagt niet gaandeweg veranderen.
  • Intrekken. Het moet voor de betrokkene net zo makkelijk zijn de toestemming in te trekken als het was om deze te geven. Is de toestemming digitaal gegeven dan moet het intrekken ook digitaal mogelijk zijn. Let op: als de toestemming is ingetrokken mag je geen gebruik meer van de persoonsgegevens maken.
  • Verwerken <16 jaar. Verwerk je gegevens van kinderen jonger dan 16 jaar in het kader van de uitvoering van je werkzaamheden, dan ben je verplicht om zijn/haar wettelijke vertegenwoordiger toestemming te vragen voor de verwerking van deze persoonsgegevens.
  • Online verwerken <16 jaar. Verwerk je gegevens van kinderen jonger dan 16 jaar oud online? Bijvoorbeeld via een app, online game, webwinkel of via social media? De AVG geeft aan dat je hiervoor toestemming van de ouders (of de persoon die de ouderlijke verantwoordelijkheid draagt) nodig hebt. Dit is specifiek het geval wanneer u de persoonsgegevens wilt gebruiken voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen. Let op: je bent verplicht een redelijke inspanning te leveren om te controleren of de toestemming is gegeven door de juiste persoon.

Voorbeelden toestemming

Onderstaande toestemming kun je opnemen in bijvoorbeeld een opdrachtovereenkomst of als los contract.

Toestemming verwerking persoonsgegevens

[NAAM ORGANISATIE] verwerkt de volgende persoonsgegevens; [INVULLEN] van je. Dit doet [NAAM ORGANISATIE] om op deze manier [DOEL INVULLEN]. Als je hiervoor toestemming geeft heb je het recht om deze toestemming weer in te trekken. Zie voor meer informatie het privacy beleid van [NAAM ORGANISATIE].

NAAM:

DATUM:

HANDTEKENING:

Toestemming kind jonger dan 16 jaar

[NAAM ORGANISATIE] verwerkt de volgende persoonsgegevens; [INVULLEN] van [NAAM KIND]. Dit doet [NAAM ORGANISATIE] om op deze manier [DOEL INVULLEN]. [NAAM ORGANISATIE] is verplicht om hiervoor toestemming te vragen aan de ouder of degene die de ouderlijke verantwoordelijkheid heeft over [NAAM KIND]. Als je hiervoor toestemming geeft heb je het recht om deze toestemming weer in te trekken. Zie voor meer informatie het privacy beleid van [NAAM ORGANISATIE].

NAAM:

DATUM:

HANDTEKENING: