De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.

Download stappenplan AVG

Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we stap 6: stel vast wat uw doel is en wat de grondslag is voor de gegevensverwerking. Nu stap 7. Evalueer de manier waarop u toestemming vraagt, krijgt en registreert. 

Download stappenplan AVG

Een van de grondslagen op basis waarvan uw organisatie persoonsgegevens kan verwerken is ‘toestemming’ van de betrokkene. De AVG stelt strenge eisen aan deze grondslag. Zo dient een toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig te zijn gegeven. Daarom is het van belang dat u de manier evalueert waarop u deze toestemming vraagt, krijgt en registreert. Controleer vervolgens of u aan de eisen in de AVG voldoet en pas zo nodig uw werkwijze aan.

Toestemming kan worden gegeven door middel van een verklaring of een actieve handeling. Bij een actieve handeling kunt u denken aan het ‘aanvinken’ van een leeg hokje op uw website. Let wel dat de toestemming niet geldig is als de betrokkene een op voorhand aangevinkt hokje op uw website niet ‘uitzet’.

Een toestemming is ‘vrij’ gegeven als de betrokkene zijn toestemming kan weigeren of intrekken zonder (de vrees) dat dit nadelige gevolgen voor hem heeft. Volgens de AVG is geen sprake van ‘vrij gegeven toestemming’ als tussen u en de betrokkene een machtsverhouding bestaat. Dit kan zich bijvoorbeeld voordoen in arbeidsrelaties. Bovendien is geen sprake van ‘vrij gegeven toestemming’ als de betrokkene alleen gebruik kan maken van een bepaalde dienst, als hij toestemming geeft voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Een voorbeeld. Een persoon wil op internet een leesboek bestellen. De boekhandel vraagt deze persoon toestemming te geven om naast zijn naam en adresgegevens, tevens informatie over bijvoorbeeld wie zijn werkgever is en hoe lang de persoon daar in dienst is te verwerken. In principe wordt deze toestemming geacht niet rechtsgeldig te zijn gegeven.

Een toestemming is ‘specifiek’ gegeven als duidelijk is voor welke specifieke verwerking(en), van welke persoonsgegevens en voor welk doel de toestemming is verleend.

Tot slot moet de toestemming ‘geïnformeerd’ zijn gegeven. Hierbij is het allereerst van belang dat de toestemming van betrokkene is gebaseerd op een juiste en volledige voorstelling van zaken. Daarnaast is van belang dat het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm wordt aangeboden en in een duidelijke en eenvoudige taal.

Verwerkt u persoonsgegevens op basis van toestemming, dan dient u er rekening mee te houden dat de betrokkene op ieder moment zijn toestemming weer kan intrekken. Het intrekken van de toestemming moet voor de betrokkene net zo gemakkelijk zijn als het geven van toestemming. Bovendien dient u de betrokkene over dit recht te informeren.

Ook dient u er op bedacht te zijn dat u op ieder moment moet kunnen aantonen dat u een geldige toestemming van de betrokkene heeft ontvangen om diens persoonsgegevens te mogen verwerken. Zorg er daarom voor dat u een verleende toestemming op een overzichtelijke wijze vastlegt.

Download het complete stappenplan AVG

Na deze stap volgen nog drie stappen die in de volgende artikelen worden behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.

Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.

Eerder verschenen stappen in het stappenplan AVG

________________________________

Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG