Grondslag toestemming

Eisen aan toestemming

In de AVG staat een aantal eisen waaraan de grondslag toestemming moet voldoen. Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. U mag de persoonsgegevens dan niet verwerken.

Toestemming moet voldoen aan deze eisen: 

• vrijelijk gegeven;
• ondubbelzinnig;
• geïnformeerd;
• specifiek.

Vrijelijk gegeven

Mensen moeten 'vrijelijk' (in vrijheid) toestemming hebben gegeven. Dat betekent dat u iemand niet onder druk mag zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als diegene geen toestemming geeft. 

Let daarbij op machtsverhoudingen. Werknemers kunnen een vraag van hun werkgever bijvoorbeeld moeilijk weigeren.

Ondubbelzinnig

Er moet sprake zijn van een duidelijke actieve handeling om toestemming te geven. Bijvoorbeeld een (digitale) schriftelijke verklaring of een mondelinge verklaring. Het moet in elk geval heel helder zijn dat er toestemming is gegeven.

U mag er niet van uitgaan dat iemand impliciet toestemming geeft. Het gebruik van vooraf aangevinkte vakjes is dus niet toegestaan.

Geïnformeerd

U moet mensen vooraf informeren over:

• de identiteit van u als organisatie;
• het doel van elke verwerking waarvoor u toestemming vraagt;
• welke persoonsgegevens u verzamelt en gebruikt;
• het recht dat mensen hebben om de toestemming weer in te trekken.

U moet de informatie voor het vragen van toestemming in een toegankelijke vorm aanbieden. Ook moet de informatie begrijpelijk zijn, zodat iemand een weloverwogen keuze kan maken. Dat betekent dat u duidelijke en eenvoudige taal moet gebruiken.

Specifiek

Toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Heeft u meerdere doeleinden om gegevens te verwerken? Dan moet u mensen hierover informeren en voor elk doel afzonderlijk toestemming vragen. Het doel mag niet gaandeweg veranderen.

Toestemming vragen

De AVG schrijft niet precies voor in welke vorm u toestemming moet vragen. Dus u mag zelf weten hoe u toestemming vraagt.

Een van de manieren om toestemming te vragen is iemand een schriftelijke verklaring te laten invullen en ondertekenen.

In een online omgeving kunt u mensen vragen om toestemming te geven door bijvoorbeeld:

• actief een vakje aan te vinken;
• op een knop of een link te klikken;
• een elektronisch formulier in te vullen;
• een e-mail aan u te sturen;
• een elektronische handtekening te zetten;
• een gescand document met handtekening te uploaden.

Een mondelinge verklaring kan ook voldoende zijn om geldige toestemming te krijgen. Maar hierbij kan het voor u moeilijk te bewijzen zijn dat u daadwerkelijk toestemming heeft gekregen.

U kunt bijvoorbeeld toestemming krijgen met een opgenomen telefoongesprek. U moet daarbij dan wel duidelijke informatie geven. En om een specifieke bevestiging vragen van de persoon. Bijvoorbeeld dat iemand een knop indrukt of duidelijk ‘ja’ of ‘nee’ zegt.

Aantonen dat u toestemming heeft

Volgens de AVG heeft u een verantwoordingsplicht. Om geldige toestemming aan te tonen, moet u niet alleen de toestemming zelf vastleggen. U moet ook kunnen laten zien op basis van welke informatie iemand de toestemming heeft gegeven.

Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie vastleggen over het websitebezoek waarin zij de toestemming hebben gegeven. Deze informatie kunt u combineren met:

• documentatie over de manier waarop u toestemming ontvangt en vastlegt;
• een kopie van de informatie die mensen hebben ontvangen voordat zij toestemming gaven.

Tot slot moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking en iemands toestemming kunt aantonen. Let wel op dat u hierbij niet meer data mag verzamelen dan daarvoor noodzakelijk is.

Toestemming intrekken

Mensen hebben het recht om hun toestemming in te trekken. Dat moet even makkelijk gaan als toestemming geven. Zorg er dus voor dat mensen hun toestemming eenvoudig kunnen intrekken.

Wat bijvoorbeeld niet mag: mensen kunnen online met 1 klik of swipe toestemming geven, maar moeten de klantenservice bellen of een brief sturen als zij hun toestemming willen intrekken.

Toestemming bij kinderen

Wilt u persoonsgegevens van kinderen verwerken? En wilt u dat op basis van de grondslag toestemming doen? Dan moet u op deze punten letten:

Bied extra bescherming

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten.

Zorg voor geldige toestemming

Kinderen jonger dan 16 jaar kunnen zelf geen geldige toestemming geven voor het verwerken van hun gegevens. Toestemming is alleen geldig als een van de ouders of verzorgers van een kind de toestemming geeft. En als u daarnaast aan de gewone vereisten voor toestemming voldoet.

Toestemming bij online verwerking

Verwerkt u gegevens van kinderen online? Bijvoorbeeld via een app, online game, webwinkel of via sociale media? Dan mag u dit bij kinderen onder de 16 jaar alleen doen met toestemming van een van de ouders of verzorgers.

Deze eis geldt specifiek wanneer u een kind een aanbod doet dat valt onder ‘diensten van de informatiemaatschappij’. Dus als u persoonsgegevens van kinderen wilt gebruiken voor marketingdoeleinden of om persoonlijkheids- of gebruikersprofielen op te stellen. En ook als u persoonsgegevens over kinderen wilt verzamelen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten.

Er is 1 uitzondering. Voor hulp- en adviesdiensten die rechtstreeks en gratis aan kinderen worden aangeboden, is geen toestemming van de ouders of verzorgers nodig.

Toestemming bij offline verwerking

Verwerkt u offline gegevens van kinderen? Bijvoorbeeld voor een bestelling in een fysieke winkel? Ook dit mag bij kinderen onder de 16 jaar alleen als een van de ouders of verzorgers hiervoor toestemming heeft gegeven.

Controleer wie toestemming heeft gegeven

Volgens de AVG bent u verplicht om te controleren of de toestemming is gegeven door een van de ouders of verzorgers van het kind. U moet dit kunnen aantonen wanneer de Autoriteit Persoonsgegevens ernaar vraagt.

Let op: Richt u zich op kinderen in een ander EU-land? De AVG biedt EU-landen de mogelijkheid om de grens voor toestemming bij online verwerkingen bij 13 jaar te leggen. In Nederland geldt de leeftijdsgrens van 16 jaar.

Informeer in begrijpelijke taal

De informatie die u geeft over de verwerking van persoonsgegevens moet eenvoudig, toegankelijk en begrijpelijk zijn voor het kind. Dus in duidelijke en eenvoudige taal en waar nodig met visuele ondersteuning.

Uitdrukkelijke toestemming

Als u bijzondere persoonsgegevens van iemand wilt verwerken, heeft u uitdrukkelijke toestemming van die persoon nodig.

Let op: Bepaalt de wet al dat u bijzondere persoonsgegevens mag verwerken? Dan heeft u niet ook nog eens uitdrukkelijke toestemming nodig.

Uitdrukkelijke toestemming is een verzwaarde vorm van toestemming. Daarmee is uitdrukkelijke toestemming (artikel 9 AVG) iets anders dan de ‘normale’, ondubbelzinnige toestemming die een van de 6 grondslagen is om gegevens te mogen verwerken (artikel 6 AVG).

Voor uitdrukkelijke toestemming is meer vereist dan voor ondubbelzinnige toestemming. De term ‘uitdrukkelijk’ verwijst naar de manier waarop mensen hun toestemming tot uitdrukking brengen.

Het betekent dat iemand een uitdrukkelijke verklaring van toestemming moet geven. Voor de hand ligt dat u hiervoor zorgt met een schriftelijke verklaring van die persoon. Om elke twijfel te voorkomen, kunt u die ook laten ondertekenen door diegene. 

Maar dit is niet de enige manier waarop u uitdrukkelijke toestemming kunt krijgen.

• In een digitale of online context kan iemand de vereiste verklaring verstrekken door een elektronisch formulier in te vullen, een e-mail te sturen, een gescand document met handtekening te uploaden of een elektronische handtekening te zetten.
• U kunt ook bezoekers van uw website een scherm aanbieden waarop zij hun uitdrukkelijke toestemming kunnen geven door ‘ja’ of ‘nee’ aan te klikken. Let op: De tekst hierbij moet wel duidelijk de toestemming verwoorden. Bijvoorbeeld: ‘Hierbij geef ik toestemming voor de verwerking van [vul hier in om welke persoonsgegevens het gaat].’ Ook moet u hierbij genoeg informatie geven aan uw bezoekers over wat u met hun gegevens doet als zij toestemming geven.
• In theorie kan een mondelinge verklaring ook voldoende zijn, maar daarbij kan het voor u moeilijk zijn om te bewijzen dat u aan alle voorwaarden voor geldige uitdrukkelijke toestemming heeft voldaan.

Voor meer informatie, bekijk de EDPB-guidelines over toestemming, hoofdstuk 4.

Toestemming bij de overheid

Wilt u weten of u als bestuursorgaan toestemming als grondslag kunt gebruiken? Dit is meestal niet mogelijk. Toch kunt u als bestuursorgaan in een situatie komen waarin het vragen van toestemming wenselijk is: u wilt ervoor zorgen dat mensen in een kwetsbare positie hulp krijgen van andere organisaties. U leest hierna wanneer er in die situatie toch sprake kan zijn van geldige toestemming.

In vrijheid gegeven

Een van de eisen aan toestemming is dat die in vrijheid is gegeven. Daardoor is toestemming als grondslag bij de overheid meestal niet mogelijk. Burgers zijn immers meestal afhankelijk van de overheid. Bijvoorbeeld als zij een voorziening aanvragen bij de gemeente (zie Overweging 43 van de AVG).

Grondslag voor de overheid

Bestuursorganen kunnen de verwerking van persoonsgegevens bij de uitvoering van overheidstaken dan ook meestal baseren op een speciaal voor de overheid geldende grondslag. Die grondslag volgt dan uit de wetgeving. In die gevallen moet de wetgever ook zorgen dat de gegevens goed beschermd zijn: door zorgvuldig af te wegen wat nodig is en ook duidelijk te bepalen wat wel en niet mag (zie artikel 6, eerste lid, onder e, en derde lid, van de AVG).

Toestemming vragen is dus voor een bestuursorgaan doorgaans niet nodig en past ook meestal niet goed in de verhouding tussen burger en overheid. Bestuursorganen zijn in de praktijk dan ook – terecht – terughoudend met het vragen van toestemming.

Toestemming wenselijk

Toch kunt u als bestuursorgaan in een situatie komen waarin het vragen van toestemming wenselijk is. Het gaat dan om de situatie dat u persoonsgegevens van mensen in een kwetsbare positie wil verstrekken aan andere organisaties, waar deze mensen (waarschijnlijk) nog niet bekend zijn. Zodat deze mensen hulp kunnen krijgen van die organisaties. Maar waarbij deze verstrekking niet noodzakelijk is voor de uitvoering van uw eigen wettelijke taak.

Het doel van de AVG is niet om vrije burgers de mogelijkheid te ontnemen toestemming te geven voor verwerkingen waarvan evident is dat deze – ook volgens diezelfde burgers – in hun eigen belang zijn. Anderzijds biedt wetgeving burgers bescherming. En is het niet de bedoeling dat bestuursorganen, buiten deze waarborgen om, onder het mom van ‘toestemming’ de mogelijkheid krijgen vrije burgers ongewenste verwerkingen op te dringen. Ook niet als duidelijk is dat de beoogde hulp objectief gezien in hun belang is.

Wanneer mag u nu als bestuursorgaan in een situatie waarin toestemming vragen wenselijk is, dit ook daadwerkelijk doen? Het is niet zo dat het geven van vrije toestemming aan overheden per definitie nooit kan. In bepaalde situaties is wel denkbaar dat sprake is van echt vrije toestemming. U kunt de gegevens dan toch verstrekken op basis van toestemming. Geeft iemand u uitdrukkelijk toestemming? Dan mag u ook bijzondere persoonsgegevens verstrekken.

Maar wanneer is er sprake van zo’n situatie? De Autoriteit Persoonsgegevens (AP) heeft een overzicht gemaakt van indicaties dat zich een situatie voordoet waarin het geven van vrije toestemming aan een bestuursorgaan mogelijk is.

Indicaties voor vrije toestemming bestuursorgaan

De AP ziet deze indicaties voor  vrije toestemming aan een bestuursorgaan:

• De verwerking waarvoor u toestemming vraagt, is in het belang van de betrokkene. De verwerking is niet (ook) in uw belang. 
• De behartiging van dat belang is niet aan u opgedragen.
• U vraagt om toestemming als reactie op een concreet gebleken hulpvraag in een individueel geval. Of op een hulpvraag waarvan uit de praktijk bekend is dat die vaak voorkomt bij deze categorie betrokkenen. U doet hierbij niet actief onderzoek naar het bestaan van mogelijke hulpvragen.
• U voert geen beleid gericht op het zoveel mogelijk verkrijgen van toestemming in bepaalde situaties. Of op het halen van bepaalde aantallen toestemmingen per tijdvak. 
• Aannemelijk is dat de betrokkene, of de categorie betrokkenen, doorgaans niet goed zelf contact zal (kunnen) leggen met de juiste hulpverlenende organisatie.
• U vraag toestemming aan de betrokkene tijdens persoonlijk (mondeling of schriftelijk) contact.
• U dringt niet aan op het geven van toestemming.
• U biedt de betrokkene een passende bedenktijd voor het geven van toestemming.
• De toestemming wordt niet gevraagd in een grootschalig of volledig geautomatiseerd proces. Want grootschaligheid en snelheid kunnen in de praktijk ten koste gaan van vrijelijk gegeven toestemming.
• Bij het vragen om toestemming informeert u de betrokkene op passende wijze. En legt daarbij goed uit hoe u gegevens deelt met een andere organisatie, voor welk doel dit gebeurt en om welke gegevens het gaat. 
  Hoewel dit eigenlijk ziet op de voorwaarde dat de betrokkene geïnformeerd moet zijn over de gegevensverwerking waarvoor diegene toestemming geeft (artikel 4, onder 11, van de AVG), geldt ook dat de betrokkene niet vrijelijk toestemming kan geven als diegene niet goed is geïnformeerd.

Aandacht voor andere voorwaarden voor toestemming

Let op: U moet niet alleen aan het vereiste van ‘vrijelijk gegeven’ voldoen. Er gelden nog andere voorwaarden voor rechtmatige toestemming in de zin van de AVG (zie artikel 4, onder 11 en artikel 7 van de AVG). Bijvoorbeeld:

• U moet zowel de mondelinge als schriftelijke toestemming goed registreren. Dat is onderdeel van uw verantwoordingsplicht (zie artikel 7, eerste lid, van de AVG).
• Betrokkenen moeten hun toestemming op eenvoudige wijze kunnen intrekken (zie artikel 7, derde lid, van de AVG). 
• Voordat betrokkenen toestemming geven, moet u hun melden dat zij hun toestemming op elk moment kunnen intrekken. En dat zij daarbij niet hoeven te zeggen waarom (zie artikel 7, derde lid, van de AVG). 
• Heeft een betrokkene de toestemming ingetrokken? Dan moet u dit ook doorgeven aan de organisatie waaraan u de persoonsgegevens van de betrokkene heeft verstrekt (zie artikel 19 j° artikel 17, eerste lid, onder b, van de AVG).

Vraag bij twijfel advies aan uw functionaris gegevensbescherming (FG).