Persoonsgegevens verwerken mag niet zomaar. Soms heb je de toestemming van de betrokkene nodig. In de AVG staat wat dat precies is. Ook is uiteengezet wanneer je goedkeuring hebt om persoonsgegevens te verwerken.
In dit artikel lees je alles over toestemming volgens de AVG. Ook vind je meer informatie over of je als bedrijf in het algemeen persoonsgegevens mag verwerken.
Wat is toestemming volgens de AVG
Toestemming volgens de AVG houdt officieel in: elke vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokkene waarmee hij of zij, door een verklaring of door een ondubbelzinnige actieve handeling, instemt met de verwerking van persoonsgegevens die op hem of haar betrekking hebben.
Kortom, voor instemming volgens de AVG vink je de volgende elementen af:
Vrijelijk gegeven
Je bedrijf mag een ander niet onder druk zetten om goedkeuring te geven. Als je dreigt om iemand te benadelen als hij of zij niet instemt, is dat niet toegestaan. Dat is natuurlijk anders als het om een werkgever-werknemer-relatie gaat. Een werknemer zal aan de vragen van een werkgever moeten voldoen als dat binnen het takenpakket valt.
Ondubbelzinnig
Het moet duidelijk zijn dat er echt van goedkeuring sprake is. Kies bijvoorbeeld voor een (digitale) schriftelijke of een mondelinge verklaring. Daarmee laat je handig zien dat er van ondubbelzinnige toestemming sprake is.
Je mag niet alvast aanvinken dat iemand akkoord geeft voor bijvoorbeeld het versturen van een nieuwsbrief. Ook ‘wie zwijgt, stemt toe’ geldt niet.
Geïnformeerd
Als je persoonsgegevens wil verwerken, moet je met de betrokkene(n) delen:
- de identiteit van jouw organisatie;
- het doel van iedere verwerking;
- welke persoonsgegevens je verzamelt en gebruikt; en
- het recht van de betrokkene om de toestemming weer in te trekken.
Deze informatie moet je toegankelijk aanbieden aan de betrokkene, natuurlijk vóór het vragen van goedkeuring. Naast toegankelijk moet de informatie begrijpelijk zijn. Gebruik dus duidelijke en eenvoudige woorden.
Specifiek
Iedere toestemming volgens de AVG moet een specifieke verwerking en een specifiek doel betreffen. Gebruik je de persoonsgegevens van iemand voor verschillende doelen? Dan is het vereist om de betrokkene te informeren. Ook vraag je voor ieder afzonderlijk doel of de betrokkene akkoord is. Verandert er iets aan het doel? Dan vraag je opnieuw om goedkeuring.
Het vragen van toestemming voor de AVG
De AVG beschrijft niet hoe je precies om goedkeuring moet vragen. Kortom: het is helemaal aan jou. Houd één ding in ieder geval in het achterhoofd. Je moet kunnen laten zien dat je echt akkoord van de betrokkene(n) hebt gekregen. Een (digitaal) schriftelijk bewijs is dus het handigst.
Extra bescherming bij kinderen
Verwerk je persoonsgegevens van kinderen die jonger zijn dan zestien jaar? Toestemming volgens de AVG van hen alleen is niet voldoende. Jongere kinderen kunnen de risico’s van het verwerken van hun persoonsgegevens niet of minder goed inschatten. Logischerwijs is daarom de goedkeuring van in elk geval één van hun ouders of verzorgers vereist.
Het intrekken van goedkeuring
Betrokkenen zijn altijd bevoegd om hun verleende akkoord in te trekken. Ook dat moet eenvoudig zijn. Even makkelijk als het geven van goedkeuring. Kortom: als je met één vinkje akkoord bent gegaan, dan moet je je ook zo kunnen afmelden. Een brief sturen of de klantenservice bellen, is te veel gevraagd.
Het belang van je kunnen verantwoorden
Als je enige grondslag voor het verwerken van persoonsgegevens ‘toestemming’ in overeenstemming met de AVG is, dan is bewijs extra belangrijk. De AVG bevat namelijk een verantwoordingsplicht. Weet zeker dat jouw bedrijf het akkoord op de goede manier heeft gevraagd en ontvangen.
Bevestig de grondslag van het verwerken
Neem de grondslag bijvoorbeeld op in de privacyverklaring van je bedrijf. Op die manier weten de betrokkenen weer dat zij akkoord hebben gegeven. Zo zijn zij niet verrast. Ook is het voor jou een middel om aan je informatieplicht te voldoen.
Heb je daarnaast een privacybeleid? Schrijf ook daarin over de toestemming in overeenstemming met de AVG. Dit is een hulpmiddel om aan de verantwoordingsplicht te voldoen.
Tot slot: ook in je verwerkingsregister kan je de goedkeuring als grondslag benoemen.
Het is ook van belang is om te kunnen onderbouwen waarom je voor deze grondslag hebt gekozen. Wees je daar dus van bewust.
Het opstellen van een verwerkingsregister
Toestemming in overeenstemming met de AVG of niet: het opstellen van een register van verwerkingsactiviteiten is onder de AVG vaak verplicht. Dit heet ook wel een verwerkingsregister.
Of je een verwerkingsregister moet opstellen, hangt af van een paar factoren. Dat zijn de omvang van je bedrijf en het soort persoonsgegevens dat je verwerkt. In het verwerkingsregister staat informatie over de persoonsgegevens die je verwerkt.
Omvang: meer of minder dan 250 medewerkers
Werken er meer dan 250 medewerkers in jouw bedrijf? Dan is het bijhouden van een verwerkingsregister verplicht.
Heeft je bedrijf minder dan 250 medewerkers? Dan is een verwerkingsregister alleen verplicht in één of meer van de volgende situaties:
- De verwerking van persoonsgegevens is niet incidenteel.
Meestal is dit het geval. Denk aan bepaalde persoonsgegevens van je medewerkers, klanten, cliënten, patiënten of inwoners.
- Je verwerkt persoonsgegevens waarbij het risico groot is dat ze inbreuk maken op de rechten en vrijheden van de betrokkenen.
- Je verwerkt persoonsgegevens die vallen onder de soort bijzondere persoonsgegevens. Hieronder vallen persoonsgegevens over ras, geloof, gezondheid en politieke voorkeur, of strafrechtelijke gegevens.