Deze website gebruikt cookies om het bezoek te analyseren en uw surfervaring te optimaliseren. Meer informatie hierover kan u terugvinden in ons privacyovereenkomst. Ik ga akkoord

Hoe verkrijg je rechtsgeldige toestemming volgens de GDPR?

 

Hoe verkrijg je rechtsgeldige toestemming volgens de GDPR?

Benoît De NAYER

 

Meer artikelen?

 

De GDPR (AVG of Algemene Verordening Gegevensbescherming in het Nederlands) breidt de werkingssfeer van het principe rond het verkrijgen van toestemming voor het verwerken van persoonsgegevens uit. De verordening wijzigt de bestaande bepalingen in de richtlijn van 1995 betreft de bescherming van persoonsgegevens en in de wet voor het vertrouwen in de digitale economie (LCEN) van 2004 niet. De tot nu toe verzamelde opt-ins blijven geldig en commerciële prospectie per e-mail of sms blijft mogelijk, onder dezelfde voorwaarden. Men zal echter strenger toezien op enkele reeds bestaande regels die tot nu toe vaak werden verwaarloosd, zoals het kunnen leveren van bewijs hoe en wanneer de toestemming is gegeven, het specifieke doel en de categorieën van ontvangers of andere landen aan wie men de gegevens overdraagt.


De module ‘Formulieren en Pagina’s’ van ACTITO helpt je om aan de GDPR-regels te voldoen, doordat de formulieren standaard de context bewaren waarin de toestemming is verkregen en de verplichte vermeldingen tonen op het moment dat de gegevens worden verzameld. De Voorkeurcentrum-template is klaar voor gebruik en bevat alle informatie en details waar de GDPR om vraagt. Door deze modules te gebruiken, kun je er zeker van zijn dat je goodwill kan aantonen omtrent de implementatie van de GDPR-principes, wat je binnen dit en twee jaar mogelijk moet bewijzen.

 

A. De regels rond toestemming


Door een aantal regels stevig aan te scherpen verandert de GDPR onmiskenbaar de spelregels rond het verkrijgen van toestemming voor marketingdoeleinden. Dit nog steeds in overeenstemming met de basisprincipes van de richtlijn van 1995 en de wet van 2004 (die het opt-in-principe introduceerde). Ter herinnering: de wet van 2004 legde de regels voor toestemming reeds vast.


“Voor de toepassing van dit artikel betekent toestemming: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden gebruikt voor directe prospectie.”


De GDPR definieert toestemming als volgt:
Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene aanvaardt, door dit te verklaren of door duidelijk een bepaalde actie uit te voeren, dat zijn persoonsgegevens worden verwerkt.


De bewoording is nagenoeg dezelfde, wat betekent dat er betreft dit specifieke punt geen fundamentele veranderingen zijn. Bovendien zegt de GDPR expliciet dat men persoonsgegevens die eerder mét toestemming zijn verstrekt gewoon verder mag gebruiken. Het is dus niet nodig om het volledige proces voor het verkrijgen van toestemming opnieuw te doorlopen voor 25 mei 2018.


Zoals reeds langer het geval was, impliceert toestemming een actieve actie van de betrokkene. Dat kan een handtekening, een mondelinge toezegging of een handeling zijn ‘van waaruit men redelijkerwijs kan concluderen’ dat die persoon instemt met de verwerking van zijn persoonsgegevens.


De toestemming moet vrijwillig gegeven zijn. Dit betekent ook dat de toestemming op elk moment weer mag worden ingetrokken. Er mag bovendien op geen enkele manier sprake zijn geweest van dwang. Als het afsluiten van een contract bijvoorbeeld afhankelijk is van de acceptatie van het gebruik van zijn gegevens voor marketingdoeleinden, is de toestemming niet vrij. Dit sluit ook het gebruik van vooraf aangevinkte checkboxen uit.


De toestemming moet geïnformeerd zijn. Dit wil zeggen dat de betrokkene daadwerkelijk moet begrijpen wat er met zijn gegevens gebeurt. Het verzoek om toestemming moet klaar en duidelijk zijn en in eenvoudige bewoordingen zijn gepresenteerd. De taal moet aangepast zijn aan het publiek, waarbij men technisch jargon en moeilijke bewoordingen zoveel mogelijk moet vermijden.


De toestemming moet specifiek en granulair zijn, wat betekent dat er voor elke soort toegang (bijvoorbeeld locatie, e-mail, contacten, foto’s, versturen van berichten…) afzonderlijk toestemming moet zijn verkregen. Voor elk ander doel is specifieke toestemming vereist. Het verzoek om toestemming mag ook niet in de algemene voorwaarden zijn begraven. Een voorbeeld is directe commerciële prospectie.


Zoals je ziet, zijn de vereisten van de GDPR wat betreft toestemming bijzonder streng en moet men een aanzienlijke brok informatie meedelen, minimaal het volgende:


- De identiteit van de verantwoordelijke voor de verwerking van de gegevens en informatie waarmee men de verantwoordelijke en alle personen die de gegevens mogelijk ontvangen, kan identificeren
- Het doel van het verzamelen van de data, duidelijk omschreven, voor elke gegevensverwerking afzonderlijk, waarbij er precies wordt uitgelegd hoe en waarvoor men de gegevens gebruikt
- Informatie over de gegevensverwerking zelf, voor elke verwerking afzonderlijk, tenzij de gegevensverwerking verschillende activiteiten betreft
- Het recht om zijn toestemming op elk gewenst moment in te trekken en informatie over hoe dit kan


“Te veel informatie begraaft iemand in informatie!” De betrokkene overstelpen met informatie heeft het tegenovergestelde effect en bereikt niet waar de verordening beoogt. Wanneer men om toestemming vraagt, dient er enkel relevante informatie te worden verstrekt. De GDPR stelt bovendien dat wanneer het geven van toestemming elektronisch verloopt, de informatie op een beknopte manier moet zijn gepresenteerd en geen negatieve invloed mag hebben op het gebruik van de service.

 

B. Bewijs van toestemming


Het is aan de verantwoordelijke om een bewijs van toestemming te kunnen voorleggen. De tekst van de GDPR specificeert niet op welke manier men dit bewijs moet leveren. De ‘datumstempel’ beschouwt men doorgaans als voldoende. Deze legt de datum, tijd, gebruikte URL en het IP-adres van de betrokkene vast. Aantonen dat alle verplichte kennisgevingen zichtbaar aanwezig waren op het moment van het verzamelen, is lastiger. De door ACTITO voorgestelde oplossing is om de context van de toestemming vast te leggen: namelijk het precieze tijdstip van de verzameling, de bron en de informatie die op het moment van het verkrijgen van de toestemming werd verstrekt.


C. De dubbele opt-in


Sommigen gaan ervan uit dat de dubbele opt-in de enige manier is om geldige toestemming te garanderen in regel met de GDPR. Dit is niet juist: deze vereiste komt niet voor in de tekst. In 2004 heerste hetzelfde debat. Ook de Franse Commission Nationale Informatique et Libertés (CNIL) heeft deze methode om toestemming te verkrijgen voor e-mail-prospectie nooit opgelegd.


D. Toestemming van minderjarigen

De GDPR geeft aan dat voor alle diensten van de informatiemaatschappij toestemming van minderjarigen jonger dan 16 jaar (jonger dan 15 jaar in Frankrijk) alleen kan worden verkregen met akkoord van de ouders. De verantwoordelijke moet dus met alle mogelijke technische middelen de leeftijd van de betrokkene checken.

E. Wat met pre-GDPR verkregen toestemming?

In principe is het niet nodig om een opnieuw toestemming te verkrijgen op voorwaarde dat de hierboven beschreven voorwaarden voor het verzamelen van toestemming zijn gerespecteerd (overweging 171 van de GDPR bepaalt dat wanneer de verwerking is gebaseerd op toestemming overeenkomstig Richtlijn 95/46/EC dit voldoet aan de GDPR). Het bewijs hiervan is vaak lastiger om geven. Is dat geval kan het nuttig zijn om toch contact op te nemen met de betrokkene en hem uit te nodigen om zijn toestemming te bevestigen. We beschrijven hieronder hoe ACTITO u hiermee kan helpen.

F. Toestemming intrekken

De betrokkene moet op elk moment zijn toestemming voor de verwerking van zijn persoonsgegevens kunnen intrekken. De GDPR geeft aan dat deze intrekking mogelijk moet zijn via hetzelfde kanaal als waarmee de toestemming werd gegeven. Als de toestemming bijvoorbeeld is verleend via een website, moet de persoon deze ook weer kunnen intrekken via die website, aan de hand van een online ‘Voorkeurcentrum’.

G. Hoe ACTITO je kan helpen met het geldig verkrijgen van toestemming en het bewijs hiervan?

Hier leggen we uit hoe we de hoger genoemde principes in de praktijk omzetten. ACTITO biedt namelijk een reeks tools die je helpen met je GDPR-compliance.

In de module ‘Formulieren en Pagina’s’ van ACTITO bouw je makkelijk formulieren die voldoen aan de wettelijke vereisten en die een bewijs van toestemming bewaren. Het template formulier ‘Voorkeurcentrum’ in het bijzonder bevat alle noodzakelijke elementen om geldige toestemming te verkrijgen binnen een gelaagd toestemmingsinformatiesysteem (layered consent). Hierbij is de belangrijkste informatie beschikbaar op de eerste pagina van het formulier. Een rechtstreeks link naar het privacybeleid, met daarin alle vereiste informatie, kan men makkelijk in het formulier opnemen. De gegevens uit het formulier en het tijdstip waarop de toestemming is gegeven, worden automatisch toegevoegd aan de ACTITO-database. Het bewijs van toestemming kan men rapporteren aan de hand van het formulier. Zo kan je dus de exacte voorwaarden terugvinden waarmee de betrokkene instemde.

Download het artikel als PDF !