Toestemming geven
De AVG is héél duidelijk: toestemming moet vrij, specifiek, expliciet, geïnformeerd en ondubbelzinnig worden gegeven. Vrij betekent dat de toestemming moet kunnen worden geweigerd en ingetrokken zonder dat dit leidt tot het weigeren van een dienst. Specifiek betekent dat er geen onduidelijkheid mag bestaan waarvoor toestemming wordt gegeven. Geïnformeerd betekent dat in eenvoudige bewoordingen en overzichtelijk moet worden aangegeven waarvoor de gegevens worden gebruikt. Worden gegevens aan derden verstrekt dan dient dit nadrukkelijk te worden aangegeven, voor welk doel dit gebeurt én er dient afzonderlijk hiervoor toestemming worden gevraagd. En expliciet betekent dat géén aangevinkte vakjes mogen worden gebruikt. 

Toestemming aantonen
Aangetoond moet kunnen worden dat toestemming is verleend, wanneer, waarvóór en op welke manier. Vinden veranderingen plaats in bijvoorbeeld de verwerking van de gegevens door een deel van de verwerking uit te besteden, dan dient opnieuw toestemming te worden gevraagd.  

Toestemming intrekken
Als toestemming is verstrekt dient deze ook weer te kunnen worden ingetrokken. Dit dient net zo gemakkelijk te gebeuren als het geven van de toestemming. Het is bijvoorbeeld niet toegestaan dit alleen per post of telefoon te kunnen doen. Bovendien mogen er géén kosten in rekening worden gebracht. 

Oude toestemming vernieuwen
Wanneer vóór de invoering van de AVG toestemming is verkregen, dan moet worden getoetst of deze toestemming onder de AVG nog geldig is. Is bijvoorbeeld gebruik gemaakt van vooraf aangevinkte vakjes of was het niet mogelijk een bestelling te plaatsen zonder in te schrijven voor de nieuwsbrief, dan is deze toestemming niet meer geldig vanaf 25 mei 2018. In de praktijk zal blijken dat oude toestemming slechts in zeer uitzonderlijke gevallen aan de AVG voldoet in termen van vrij, specifiek, expliciet, geïnformeerd en ondubbelzinnig. De oude toestemming is dan dus niet meer geldig en er zal hernieuwd toestemming moeten worden gevraagd.  

Kinderen
Onder de AVG zijn personen jonger dan 16 jaar kinderen waarbij extra bescherming van hun persoonsgegevens is vereist: worden in het kader van online diensten gegevens van kinderen verzameld en gebruikt, dan moet hiervoor toestemming zijn verleend door de ouder(s) of voogd(en). De AVG begrijpt dat dit niet in alle gevallen even eenvoudig is om vast te stellen of iemand jonger is dan 16 jaar en stelt daarom dat de organisatie zich hier redelijkerwijs moeite voor moet doen. Het volstaat om te vragen naar de leeftijd en om expliciete toestemming van de ouder(s) of voogd(en) te vragen wanneer deze onder de 16 jaar ligt. Verder mogen kinderen niet worden onderworpen aan uitsluitend geautomatiseerde individuele beslissingen die rechtsgevolgen kunnen hebben of een andere aanzienlijke impact. 


Gerelateerde artikelen