Iedere organisatie verwerkt ongetwijfeld persoonsgegevens. Volgens de Algemene Verordening Gegevensbescherming (AVG) mogen organisaties persoonsgegevens verwerken, indien zij hier een grondslag voor hebben. Toestemming is een van de grondslagen voor het verwerken van persoonsgegevens van bijvoorbeeld medewerkers, sollicitanten, cliënten of leveranciers. Zo kan een betrokkene toestemming geven voor de verwerking van zijn persoonsgegevens door de verantwoordelijke in de zin van de AVG. Toestemming voor gegevensverwerking als grondslag dient aan bepaalde voorwaarden te voldoen.
Voorwaarden voor rechtsgeldige toestemming
Overweging 32 van de AVG schrijft hierover: Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring. De toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn.
Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
Een door de betrokkene gegeven toestemming dient op grond van de AVG te voldoen aan bepaalde voorwaarden. De vuistregels zijn als volgt:
- De toestemming moet vrijelijk gegevens zijn;
- De toestemming moet ondubbelzinnig zijn;
- De organisatie moet de betrokkene informeren over de gegevensverwerkingen;
- De toestemming moet specifiek zijn;
- De toestemming mag altij worden ingetrokken door de betrokkene. De betrokkene dient hiervan op de hoogte te zijn.
Kortom, de toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn. Hieronder gaan wij nader in op de afzonderlijke onderdelen van toestemming.
Vrijelijk gegeven toestemming
Een eerste vereiste is dat de toestemming vrijelijk gegeven moet zijn. Zo mag de betrokkene niet onder druk zijn gezet om de toestemming af te staan. Daarnaast mag de betrokkene van wie de toestemming wordt verkregen, niet benadeeld worden als er geen toestemming door de betrokkene wordt gegeven.
De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering.
Ondubbelzinnig gegeven toestemming
De toestemming moet het gevolg zijn van een duidelijke actieve handeling van de betrokkene. Het moet duidelijk zijn dat er toestemming is verleend. De wetgever is duidelijk over wanneer er al dan niet sprake kan zijn van ondubbelzinnige toestemming.
Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
De betrokkene informeren over toestemming
De verantwoordelijke dient de betrokkene vooraf te informeren waarvoor de toestemming wordt gegeven en aan wie. Een organisatie moet dus duidelijk maken welke organisatie toestemming vraagt, welke persoonsgegevens er worden verwerkt en met welke doeleinden. De informatie moet op een toegankelijke en begrijpelijke manier worden aangeboden aan de betrokkene. Een goede. manier hiervan is het opstellen van een privacyverklaring en deze publiceren op de website.
Toestemming moet specifiek zijn
De verantwoordelijke moet in de toestemming duidelijk vermelden voor welke persoonsgegevens toestemming wordt verkregen en voor welke doeleinden de persoonsgegevens worden verwerkt. Zodra de verwerking van een persoonsgegeven niet in lijn is met de oorspronkelijke doeleinde, is de verwerking niet meer rechtmatig. Dan moet de verantwoordelijke ook stoppen met de verwerking van persoonsgegevens. Dit is de hoofdregels in de AVG. Denk hierbij aan het verzamelen van contactgegevens ten behoeve van corona-contactonderzoeken, maar de gegevens worden gebruikt voor marketing. Dit is duidelijk geen rechtmatige verwerking: de contactgegevens mogen niet voor marketingdoeleinden gebruikt worden.
Toestemming is vormvrij
In de AVG is niet bepaald dat de toestemming aan een bepaalde vormvereiste dient te voldoen. Integendeel: toestemming is vormvrij. Dit betekent dat het niet uitmaakt hoe iemand zijn toestemming geeft voor gegevensverwerking. De toestemming mag schriftelijk, online en zelfs mondeling afgegeven worden.
Aan de andere kant moet een organisatie, bijvoorbeeld een zorginstelling, kunnen aantonen dat er een geldige toestemming is gegeven door de betrokkene. Bij een mondelinge toestemming is bewijs lastig aan te tonen. Daarom vragen organisaties vaak schriftelijke toestemming aan bijvoorbeeld hun medewerkers, cliënten, leveranciers.
Toestemming kunnen intrekken
Op grond van de AVG mag de betrokkene eerder gegeven toestemming op elk moment intrekken. U dient de betrokkene hiervan op de hoogte te brengen. Daarnaast moet de toestemming net zo makkelijk ingetrokken kunnen worden als dat deze gegeven is. U mag bijvoorbeeld een klant niet verplichten per post een verzoek in te dienen als de klant zijn toestemming heeft gegeven bij het invullen van een online formulier of een online aankoop. Ook mag u geen onredelijke eisen aan de betrokkene stellen als de betrokkene zijn toestemming wil intrekken.
Verplicht om toestemming te vragen
In sommige gevallen dient u als organisatie toestemming van de betrokkene te hebben, wilt u persoonsgegevens mogen verwerken.
Het gaat dan om de volgende gevallen:
- Het verwerken van bijzondere persoonsgegevens;
- Profileren;
- Direct marketing;
- Nieuwsbrieven;
- Het verwerken van persoonsgegevens van jongeren onder de 16 jaar.