Afvinkhokje en pen voor verlenen toestemming verwerking persoonsgegevens - Bernhaege Advocaten

25 mei 2018 is de nieuwe privacywet in werking gegaan. Op die datum werd de Wet bescherming persoonsgegevens vervangen door de Algemene verordening gegevensbescherming (AVG). Daarmee werd er een aantal veranderingen op het gebied van privacy doorgevoerd. Onder de AVG is het verwerken van persoonsgegevens alleen mogelijk als er tenminste één (van de zes) grondslagen van toepassing is voor die specifieke verwerking van persoonsgegevens. Een van die grondslagen betreft de toestemming van betrokkenen voor de verwerking persoonsgegevens. De toestemming op zich is natuurlijk niets nieuws. Desondanks moet onder de ACG die toestemming wel aan een aantal vereisten voldoen. Daarnaast moet u controleren of de toestemming die u heeft, bijvoorbeeld voor versturen van een nieuwsbrief, aan die vereisten voldoet. Is uw toestemming “AVG-proof”?

Bewijslast verwerking persoonsgegevens

De nieuwe privacywet legt over het algemeen een grotere bewijslast op de verwerkersverantwoordelijken. Partijen die persoonsgegevens (laten) verwerken, moeten kunnen aantonen dat zij daarbij aan de AVG voldoen. Dat geldt ook voor de toestemming van betrokkenen indien dat de grondslag is voor een specifieke verwerking persoonsgegevens. Hoewel dat bewijs zogenoemd “vormvrij” is, is het wel belangrijk om goed na te gaan hoe u zaken documenteert. De beste vormen om aan de bewijslast te kunnen voldoen blijven, ook onder de nieuwe privacywet:

  • het laten ondertekenen van een schriftelijke verklaring;
  • het online moeten aanvinken van een vakje;
  • het opnemen van mondelinge toestemming;
  • een zogenoemde “double opt-in” in e-mail (ook te gebruiken in vervolg op een mondelinge toestemming die niet is opgenomen).

Vereisten

In de AVG wordt toestemming van de betrokkene als volgt gedefinieerd: “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.

Hieruit blijkt dus dat die toestemming vrij (vrijwillig) moet worden gegeven. Dit is het geval als de betrokkenen zijn toestemming zonder nadelige gevolgen kan weigeren of intrekken. Daarbij houdt het ook in dat er dus geen sprake is van een zodanige gezagsverhouding dat de toestemming wordt afgedwongen. Hierdoor is de toestemming voor het verwerken van persoonsgegevens in een arbeidsrelatie bijvoorbeeld niet aan de orde. Uit de toelichting blijkt ook dat het eerste vereiste erop toeziet dat toestemmingsvragen voor verschillende verwerkingen niet gebundeld mogen zijn. Dit omdat de betrokkene dan niet meer vrij zou zijn om die toestemming te weigeren.

Verder moet de toestemming gericht zijn op een specifieke (categorie van) verwerking. Is er sprake van meerdere doeleinden, dan zal voor elk doel apart toestemming moeten worden gevraagd.

Verder moet de toestemming van de betrokkene op informatie berusten. Daarom dient het verzoek om toestemming in voor de betrokkene begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te worden gesteld. Het enkel verwijzen naar een privacyverklaring is niet voldoende. Bij de vraag moet de nodige informatie te vinden zijn. Hierbij verder doorverwijzen naar de privacyverklaring waarin ook dit onderdeel normaals wordt benoemd, kan natuurlijk geen kwaad.

Ook moet de toestemming ondubbelzinnig zijn. Zo mag de toestemmingsvraag maar ook de mogelijke handeling waarmee toestemming wordt gegeven dus niet voor meerdere interpretaties vatbaar zijn. Een bestelknop op uw webshop waarmee ook direct toestemming wordt gegeven voor het ontvangen van een nieuwsbrief voldoet hier duidelijk niet aan.

Toestemming intrekken

Voor de e-mailnieuwsbrief is het niets nieuw. Echter, ook voor andere verwerking persoonsgegevens moet de betrokkenen te allen tijde zijn toestemming weer kunnen intrekken. Dit moet kunnen op dezelfde eenvoudige wijze als waarop de toestemming is gegeven. Bovendien moeten de betrokkenen daar ook vooraf over worden geïnformeerd.

Voldoen uw toestemmingen?

Nu de AVG geldt, is het dus van belang om na te gaan of de toestemmingen die u voor uw verwerkingen van persoonsgegevens heeft verkregen ook aan de nieuwe vereisten voldoen. Tenslotte moet u bekijken of u dat ook kunt aantonen! Zo niet, dan moet u opnieuw toestemming moeten vragen en dat nu wel goed documenteren. Hierna kunt u de verwerking persoonsgegevens voortzetten.

Twijfelt u of de verwerking persoonsgegevens op de juiste manier aanpakt? Neem contact op met onze privacyrecht advocaat die u kan bijstaan in zowel Veghel als Oss.

Heeft u voor die tijd dringende vragen op dit gebied, dan kunt u uiteraard ook altijd contact opnemen met ons kantoor door te mailen naar info@bernhaege.nl, of bel direct ons kantoor in Veghel op 0413 – 35 22 11 of ons kantoor in Oss 0412 – 76 02 27.