Per 25 mei zal de inmiddels welbekende Algemene Verordening Gegevensbescherming (“AVG”) van toepassing zijn. De AVG schrijft onder andere voor dat een verwerking van persoonsgegevens alleen rechtmatig is op basis van een grondslag die in de AVG is om-schreven. Eén van de mogelijke grondslagen is de toestemming van de persoon wiens gegevens worden verwerkt. In deze bijdrage de 5 punten waar deze toestemming aan moet voldoen.

1. Verklaring of actieve handeling Het moet gaan om een verklaring of actieve handeling waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig (op deze vereisten wordt hieronder nog separaat ingegaan) met de verwerking van zijn persoonsgegevens heeft ingestemd.

2. Vrijelijk Er moet sprake zijn van een vrije wilsuiting van de betrokkene om zijn of haar persoonsgegevens te verwerken. Een voorbeeld van een situatie waarbij een betrokkene in de meeste gevallen niet vrij is om zijn of haar wil te uiten is de verwerking van gegevens over een werknemer door een werkgever. Omdat sprake is van een gezagsverhouding tussen werkgever en werknemer wordt toestemming door een werknemer slechts in uitzonderingsgevallen geacht vrij te zijn gegeven. In arbeidsrelaties moet de verwerking van persoonsgegevens dan ook vaak worden gebaseerd op noodzaak tot verwerking in het kader van de uitvoering van de arbeidsovereenkomst, of het gerechtvaardigd belang van de werkgever, in plaats van op toestemming.

3. Specifiek Toestemming moet door een betrokkene specifiek worden verleend voor een bepaalde gegevens-verwerking. Een brede en onbepaalde toestemming om gegevens te verwerken voldoet niet. Zo is toestemming voor ‘het ontvangen van uw nieuwsbrief’ in beginsel voldoende specifiek, maar een brede toestemming voor verwerking voor ‘marketingdoeleinden’ in de regel niet. Het is immers zonder verdere toelichting onduidelijk wat precies onder ‘marketingdoeleinden’ wordt verstaan.

4. Geïnformeerd De betrokkene moet begrijpen waar hij toestemming voor geeft en aan wie hij deze toestemming geeft. De toestemming dient dan ook geïnformeerd te zijn. Een goede manier om te voldoen aan deze en de verdere informatieverplichtingen uit de AVG is om een privacy statement op te stellen.

5. Ondubbelzinnig Toestemming dient altijd ondubbelzinnig te zijn. Het moet duidelijk zijn dat de betrokkene toestemming heeft gegeven. Deze toestemming moet dan ook ofwel een verklaring zijn (‘ik geef toestemming’) ofwel een bevestigende handeling, zoals het aanvinken van een vakje. Let op: vooraf ingevulde vakjes leiden niet tot een geldige toestemming.

Naast deze vereisten nog de volgende aanwijzingen:

  • Toestemming intrekkenEen betrokkene heeft de mogelijkheid zijn toestemming in te trekken. Het intrekken van toestem-ming moet net zo eenvoudig zijn als het geven van toestemming.
  • Bewijs Wordt een verwerking van persoonsgegevens gebaseerd op toestemming, dan is het noodzakelijk dat de toestemming bewezen kan worden. Bewaar daarom altijd een bewijs van de toestemming.