Grondslag: toestemming
Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Een verwerking van persoonsgegevens kan rechtmatig zijn wanneer er toestemming is gegeven door de betrokkene. Dat is degene wiens persoonsgegevens verwerkt worden. De toestemming moet aan een aantal voorwaarden voldoen (art. 7 AVG).
De toestemming dient vrijelijk te worden gegeven door middel van een duidelijke actieve handeling. Dit kan bijvoorbeeld met een schriftelijke verklaring, met elektronische middelen, of een mondelinge verklaring. Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt (rechtsoverweging 32 AVG).
Doelbinding
Het verzoek om toestemming moet in in duidelijke en eenvoudige taal aangeboden worden, en in een begrijpelijke en gemakkelijk toegankelijke vorm. Daaruit moet duidelijk blijken waar de toestemming precies voor wordt gegeven. Welke persoonsgegevens worden verzameld? En voor welke doelen worden deze verwerkt?
Wanneer er meerdere doelen zijn voor de verwerking van de persoonsgegevens moet voor elk van deze verwerkingsdoelen specifiek toestemming gegeven worden.
Vrijelijke toestemming
In overweging 43 AVG staat dat er geen sprake kan zijn van vrijelijk gegeven toestemming wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie. Aangegeven wordt dat hier met name sprake van kan zijn indien de verwerkingsverantwoordelijke een overheidsinstantie is.
Indien een decentrale overheid zich op de grondslag toestemming wil beroepen, dient hij zich bewust te zijn van zijn hoedanigheid als overheid of als bedrijfsorganisatie. Bij verwerking en in het sociaal domein is de ‘wanverhouding’ bijvoorbeeld duidelijker aanwezig dan bij het vragen van toestemming voor het verzenden van een nieuwsbrief.
Daarnaast wordt in de Memorie van Toelichting bij de Uitvoeringswet AVG ook gewezen op de mogelijkheid tot het bestaan van een duidelijke ‘wanverhouding’ in de relatie werkgever-werknemer. Ook de Autoriteit Persoonsgegevens geeft aan dat toestemming in zo’n situatie niet gauw als een geldige grondslag wordt gezien. Werknemers zullen altijd in bepaalde mate afhankelijk zijn van hun werkgever.
Actieve handeling
Het aanklikken van een vakje bij een bezoek aan een internetwebsite of het selecteren van technische instellingen voor diensten, kan tot het geven van toestemming behoren. Uit de handeling moet duidelijk blijken dat de betrokkene instemt met de voorgestelde verwerking van persoonsgegevens. De vakjes moeten bijvoorbeeld actief worden aangevinkt. Een vooraf aangevinkt vakje, die iemand zelf uit moet zetten als zij daar geen toestemming voor willen geven, is niet toegestaan.
Bewijs van toestemming
De voor de verwerking verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens (art. 7 AVG).
Daarnaast is belangrijk om te weten dat de betrokkene de toestemming ieder moment mag intrekken. Dit moet dan even makkelijk zijn als het geven van de toestemming was.
Meer weten over toestemming?
Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.
Stel direct uw vraag