Blogopmaak

Toestemming als AVG-grondslag

Een onzekere!

Onder ‘persoonsgegevens’ verstaat de Algemene verordening gegevensbescherming (AVG) alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Bijna elk ‘gegeven’ dat samenhangt met een persoon valt daaronder. Wat je daarmee kunt doen – bijvoorbeeld verzamelen, kopiëren of opslaan – is al snel te beschouwen als ‘verwerking’. De AVG vereist dat je als verwerkingsverantwoordelijke voorafgaand aan die verwerkingen bepaalt op welke grondslag je een persoonsgegeven verwerkt. In dit blog wordt de toestemming behandeld, met de aandachtspunten die daarbij komen kijken.

Grondslagen
Art. 6 lid 1 AVG noemt de zes rechtmatigheidsgrondslagen:
a. Toestemming van de betrokkene
b. Een overeenkomst met de betrokkene
c. Wettelijke plicht
d. Vitaal belang van de betrokkene (voor medici)
e. Een overheidstaak
f. Een eigen gerechtvaardigd belang
Voor de gronden b. t/m f. geldt dat de verwerking van het persoonsgegeven voor dat doel noodzakelijk moet zijn (dus niet alleen maar handig).

Toestemming
Voor toestemming geldt dat noodzakelijkheidsvereiste niet. Wel moet de toestemming voor de verwerking zijn gegeven voor één of meer specifieke doeleinden, bijvoorbeeld om een nieuwsbrief te ontvangen. De persoon moet 16 jaar of ouder zijn of de toestemming moet worden verleend door degene die ouderlijke verantwoordelijkheid over het kind heeft (art 8 AVG).

De toestemming is gedefinieerd als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” (art. 4 onder nr. 11 AVG).

Voorwaarden
Er geldt een aantal voorwaarden die er praktisch beschouwd op neer komen dat
  • de toestemming vrijwillig moet zijn. Iemand moet dus kunnen weigeren zijn toestemming te geven, zonder benadeeld te worden.
  • de toestemming specifiek moet zijn. Er moet in eenvoudige bewoording toestemming worden gevraagd, niet verhuld in lange teksten of als onderdeel van andere   vragen. Er moet precies worden aangegeven wat er met de gegevens gebeurt en door wie (verwerkingsverantwoordelijke, verwerker?).
  • de betrokkene moet geïnformeerd zijn. Wie toestemming vraagt, moet de persoon uitleggen hoe en waarom hij de gegevens gebruikt en laten weten dat die persoon zijn toestemming ook weer in kan trekken.
  • de toestemming moet ondubbelzinnig zijn. Er mag dus geen twijfel over bestaan dat de specifieke toestemming gegeven is voor het gebruik van die persoonsgegevens. Denk hierbij aan een actieve keuzeoptie tussen 'ja' en 'nee'.
Zoals hier al naar voren kwam, moet de toestemming ook op elk door de betrokken persoon gewenst moment kunnen worden ingetrokken. Het intrekken moet net zo eenvoudig zijn als het geven van toestemming. Als je kiest voor toestemming als grondslag, moet je er dus rekening mee houden dat deze toestemming altijd kan vervallen, waarmee de verwerking moet eindigen en het (specifieke) gebruik dus moet stoppen. Dat maakt de toestemming een onzekere verwerkingsgrondslag.

Deze voorwaarden zijn terug te vinden in art. 7 AVG.
Bewijs
Als verwerkingsverantwoordelijke moet je kunnen aantonen dat de betrokkene toestemming heeft gegeven. Dat vereist een goede documentatie van ondertekende toestemmingsverklaringen of digitale gegevens, inclusief de wijze waarop de vraag naar toestemming is gesteld. De toestemming kan via een daarvoor opgesteld formulier (in tweevoud) of een pop-up met daarin uitsluitend de toestemmingsvraag, een ja/nee-keuzeoptie en een verwijzing naar de privacyverklaring.

Andere grondslag?
Als de verwerking na intrekking op grond van een andere grondslag kan worden gerechtvaardigd, moet de betrokken persoon over het gebruik van de gegevens onder die andere grondslag worden (of zijn) geïnformeerd.



September 2021

Disclaimer
De artikelen en blogposts van Legalance bieden algemene informatie en zijn niet bedoeld als advies. Er is niet beoogd volledigheid over een bepaald leerstuk na te streven . Ook kande informatie verouderd, onvolledig en/of onjuist zijn door wijzigingen in wet- en regelgeving, nieuwe rechtspraak of andere ontwikkelingen. Aan de hier aangeboden informatie kunnen dan ook geen rechten worden ontleend. De auteur daarvan kan niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van deze informatie.

Jurist voor particulieren, MKB en ZZP. Bestuursrecht, erfgoedrecht, ICT-recht, IE, kunstrecht, mededingingsrecht, mensenrechten, omgevingsrecht, privaatrecht, privacy, vervoersrecht, veterinair recht.

Welkom bij Legalance. Ik ben Anneke, jurist voor ondernemers en particulieren. Ook werk ik als freelance-jurist* of teken ik voor legal design. Hier vind je artikelen en blogposts op het gebied van bestuursrecht, erfgoedrecht (incl. werelderfgoed), horecarecht, ICT-recht, intellectueel eigendomsrecht, kunstrecht, mededingingsrecht, mensenrechten, omgevingsrecht, privaatrecht, privacy en verwerking persoonsgegevens (AVG), (goederen) vervoersrecht en veterinair recht (multidisciplinair).

Ben je niet op zoek naar een advocaat, maar wel naar de juridische oplossing, vraagbaak of ondersteuning die bij jou, je bedrijf of organisatie past? Laten we eens kennismaken.


*Jurist of paralegal vanuit Spijkenisse, vanaf Voorne-Putten (bij Rotterdam).

Share by: