Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

2.04 Registreren van Toestemmingen

"Toestemming" als basis

Als basis voor het verwerken van persoonsgegevens is vrijwel altijd toestemming van Betrokkenen noodzakelijk.
AVG art. 4 lid 11 geeft de volgende definitie van toestemming:

  • Toestemming van de Betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de Betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

Toestemmen is dus een kwestie van Opt-In: een bevestigende handeling; een Opt-Out: de toestemming moeten intrekken om niet verwerkt te willen worden, geldt niet als toestemming. 

Het is aan bedrijven en scholen om die toestemming te verkrijgen. Ook is het aan hen om aan te tonen dat die toestemming is gegeven. Er moet dus daarvan, op verzoek, bewijs kunnen worden geleverd. 

Gegeven toestemmingen moeten kunnen worden ingetrokken. Het moet dus voor een Verantwoordelijke ook duidelijk zijn dat die toestemming er niet (meer) is en dat de verwerking is aangepast. Voordat persoonsgegevens kunnen worden verwerkt, moet daarom de toestemming (of het ontbreken daarvan) worden gecontroleerd. Dat kan via een "Register van Toestemmingen", dat speciaal daarvoor moet worden aangelegd en worden beheerd. 

Voor bedrijven

Voor bedrijven is de procedure m.b.t. het geven van toestemming meestal redelijk éénvoudig: men kan toestemming verlenen (Opt-In) via de site. Daarnaast kan men in de Algemene Voorwaarden de eis van toestemming stellen: indien die toestemming niet wordt gegeven, zal de dienst of het product niet worden geleverd!

Zodra die voorwaarden zijn geaccepteerd, is er toestemming in de vorm van een overeenkomst. Het is dus wel van belang om die acceptatie vast te leggen. 

Men kan te allen tijden deze toestemming, via een verzoek aan de Verantwoordelijk, intrekken. Bij nieuwsbrieven is er vaak een mogelijkheid om uit te schrijven via een link (opt-out). 

Voor scholen en bedrijven met meerdere diensten

Voor b.v. scholen zijn er veel verschillende situaties waarvoor toestemming verleend moet worden en geldt die toestemming ook nog eens over een langere periode, het schooljaar. Op scholen zijn veel vormen van verwerking, van leerling-gegevens tot aan onderwijs en op sociale media. Ook voor uitwisseling met derden (buiten de school) moet (vaak) toestemming worden gevraagd.

De situatie is dan ingewikkelder: voor iedere vorm van verwerking van persoonsgegevens moet dan apart toestemming worden verleend. De meest praktische oplossing is om voorafgaand aan een schooljaar, de ouders of de leerlingen en de medewerkers, een overeenkomst aangaan waarin voor alle vormen van verwerking toestemming wordt gegeven. Let wel: men moet per verwerking kunnen kiezen en toestemming geven.

Voor een school is een vergelijkbare situatie met de Algemene Voorwaarden van een bedrijf een optie om een uniforme regeling te treffen, bijvoorbeeld via een Leerlingen-statuut of een Onderwijs-overeenkomst. 

Toestemming niet nodig...

Toestemming is niet nodig wanneer er een andere grondslag voor de verwerking is (art 6 AVG):

  • wettelijk: de verwerking is aan de Verantwoordelijke opgelegd door de Staat, bijvoorbeeld afdracht van belastingen,
  • uit overeenkomst: er is een afspraak gemaakt met Betrokkene, waarvoor verwerking noodzakelijk is,
  • "gerechtvaardigd belang": de verwerking is noodzakelijk voor de Verantwoordelijke of een derde en de belangen van Betrokkene zijn daaraan ondergeschikt.

Het is van groot belang om vooraf aan een verwerking te toetsen of deze grondslagen geldig zijn.
Zo niet.... dan is expliciete toestemming de enige optie... 

 

  Vorige pagina      Index      Volgende pagina

Afdrukken