Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Een verwerking van persoonsgegevens kan rechtmatig zijn wanneer er toestemming is gegeven door de betrokkene. Dat is degene wiens persoonsgegevens verwerkt worden. De toestemming moet aan een aantal voorwaarden voldoen (art. 7 AVG).
De toestemming dient vrijelijk te worden gegeven door middel van een duidelijke actieve handeling. Dit kan bijvoorbeeld met een schriftelijke verklaring, met elektronische middelen, of een mondelinge verklaring. Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt (rechtsoverweging 32 AVG).
Het verzoek om toestemming moet in in duidelijke en eenvoudige taal aangeboden worden, en in een begrijpelijke en gemakkelijk toegankelijke vorm. Daaruit moet duidelijk blijken waar de toestemming precies voor wordt gegeven. Welke persoonsgegevens worden verzameld? En voor welke doelen worden deze verwerkt?
Wanneer er meerdere doelen zijn voor de verwerking van de persoonsgegevens moet voor elk van deze verwerkingsdoelen specifiek toestemming gegeven worden.
In overweging 43 AVG staat dat er geen sprake kan zijn van vrijelijk gegeven toestemming wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie. Aangegeven wordt dat hier met name sprake van kan zijn indien de verwerkingsverantwoordelijke een overheidsinstantie is.
Indien een decentrale overheid zich op de grondslag toestemming wil beroepen, dient hij zich bewust te zijn van zijn hoedanigheid als overheid of als bedrijfsorganisatie. Bij verwerking en in het sociaal domein is de ‘wanverhouding’ bijvoorbeeld duidelijker aanwezig dan bij het vragen van toestemming voor het verzenden van een nieuwsbrief.
Daarnaast wordt in de Memorie van Toelichting bij de Uitvoeringswet AVG ook gewezen op de mogelijkheid tot het bestaan van een duidelijke ‘wanverhouding’ in de relatie werkgever-werknemer. Ook de Autoriteit Persoonsgegevens geeft aan dat toestemming in zo’n situatie niet gauw als een geldige grondslag wordt gezien. Werknemers zullen altijd in bepaalde mate afhankelijk zijn van hun werkgever.
Het aanklikken van een vakje bij een bezoek aan een internetwebsite of het selecteren van technische instellingen voor diensten, kan tot het geven van toestemming behoren. Uit de handeling moet duidelijk blijken dat de betrokkene instemt met de voorgestelde verwerking van persoonsgegevens. De vakjes moeten bijvoorbeeld actief worden aangevinkt. Een vooraf aangevinkt vakje, die iemand zelf uit moet zetten als zij daar geen toestemming voor willen geven, is niet toegestaan.
De voor de verwerking verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens (art. 7 AVG).
Daarnaast is belangrijk om te weten dat de betrokkene de toestemming ieder moment mag intrekken. Dit moet dan even makkelijk zijn als het geven van de toestemming was.
Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.
De Algemene verordening gegevensbescherming (AVG) is op 25 mei 2018 van toepassing geworden. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacywetgeving: organisaties die zich niet aan de verplichtingen houden kunnen fikse boetes krijgen. Waar heeft de Autoriteit Persoonsgegevens zich de afgelopen tijd mee bezig gehouden en welke controles kunnen decentrale overheden nog verwachten?
De nieuwe Europese Algemene verordening gegevensbescherming (AVG) brengt een aantal veranderingen mee voor het privacybeleid van onder meer decentrale overheden. De AVG wordt in Nederland beleidsneutraal geïmplementeerd. Dit betekent dat het huidige recht wordt gehandhaafd, tenzij dit op grond van de AVG niet mogelijk is. Toch zijn er enkele belangrijke verschillen met de huidige Wet bescherming persoonsgegevens (Wbp). In dit overzicht presenteert Europa decentraal een aantal belangrijke tools en publicaties, toegespitst op het behandelde thema in deze speciale Ster-editie: de Functionaris Gegevensbescherming. Dit overzicht kan decentrale overheden helpen bij de voorbereiding op de inwerkingtreding van de AVG.
Met nog minder dan 100 dagen te gaan is het 25 mei zover. Dan dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit tweede deel van deze AVG-special wordt verder ingegaan op de verwerkingsbeginselen in de AVG en de grondslagen voor verwerking.
De nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) brengt een aantal veranderingen mee voor het privacybeleid van onder meer decentrale overheden. De AVG wordt in Nederland beleidsneutraal geïmplementeerd, wat betekent dat het huidige recht wordt gehandhaafd, tenzij dit op grond van de AVG niet mogelijk is. Toch zijn er enkele belangrijke verschillen met de huidige Wet bescherming persoonsgegevens (Wbp). In dit overzicht presenteert Europa decentraal een aantal belangrijke tools en publicaties, toegespitst op de behandelde thema’s van deze speciale Ster-editie. Dit overzicht kan decentrale overheden helpen bij de voorbereiding op de inwerkingtreding van de AVG.
Op donderdag 30 maart vond de Werken met Europa borrel plaats bij Europa decentraal. Dit netwerkevent stond in het teken van de Algemene verordening gegevensbescherming (AVG), waaraan decentrale overheden zich vanaf 25 mei 2018 moeten houden. Voorbereidingen moeten nu al getroffen worden om straks aan de voorwaarden uit de verordening te voldoen.
De auteursrechten op de inhoud van deze website behoren toe aan Europa decentraal, tenzij expliciet anders is vermeld. Aan de op de website opgenomen en via de links te ontsluiten informatie kunnen geen rechten worden ontleend.
Europa decentraal heeft aan het opstellen van de inhoud van de pagina’s de nodige zorg besteed. Desondanks is het mogelijk dat de site onvolledig is of onjuistheden bevat. Europa decentraal aanvaardt daarvoor geen enkele aansprakelijkheid.
Europa decentraal aanvaardt geen enkele aansprakelijkheid voor schade, hoegenaamd ook, direct of indirect veroorzaakt door de inhoud van de site of de inhoud van de pagina’s die door externe links beschikbaar zijn gemaakt.
