Selecteer een pagina

De AVG komt op veel punten overeen met zijn voorloper, de Wet bescherming persoonsgegevens (Wbp). In de praktijk moesten bedrijven in Nederland al aan veel van de privacyregels voldoen. Google laat zijn Nederlandse gebruikers bijvoorbeeld weten dat het bedrijf “niets verandert aan de manier waarop uw gegevens worden verwerkt.”

Een van de zaken die wel verandert, is dat de AVG bedrijven verplicht hun privacyverklaring in heldere taal te schrijven. Dat betekent dat de privacyverklaring vanaf 25 mei geschikt moet zijn voor de doelgroep, dat het duidelijk is welke gegevens een bedrijf verwerkt en dat de verklaring duidelijk leesbaar is.

Een organisatie mag niet zomaar persoonsgegevens verwerken. Je moet daarvoor een wettelijke grondslag hebben. De Algemene Verordening gegevensbescherming (AVG) kent 6 grondslagen.

Alleen als je de gegevensverwerking kunt baseren op minimaal één van deze grondslagen heb je het recht om de persoonsgegevens te verwerken.

Eén van die 6 grondslagen is ‘toestemming’. De AVG schrijft niet precies voor in welke vorm je toestemming moet vragen. Maar de manier waarop je toestemming vraagt moet wel voldoen aan een aantal specifieke eisen.

  • Vrijelijk gegeven: je mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.
  • Ondubbelzinnig: er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. Je mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.
  • Geïnformeerd: je moet mensen informeren over:
    1) de identiteit van de organisatie;
    2) het doel van elke verwerking waarvoor je toestemming vraagt;
    3) welke persoonsgegevens je verzamelt en gebruikt;
    4) het recht dat zij hebben om de toestemming weer in te trekken. Je moet de informatie in een toegankelijke vorm aanbieden. Ook moet deze begrijpelijk zijn zodat iemand een weloverwogen keuze kan maken. Dat betekent dat je duidelijke en eenvoudige taal moet gebruiken.
  • Specifiek: toestemming moet steeds gelden voor een specifieke verwerking en een specifiek doel. Indien de organisatie bij de verwerking meerdere doeleinden heeft, dient de betrokkene hierover geinformeerd te worden. En de betrokkene moet voor elk doel afzonderlijk toestemming gevraagd worden. Het doel mag niet gaandeweg veranderen.
  • Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.
  • Je moet kunnen aantonen dat je geldige toestemming hebt verkregen.

Voldoet de toestemming niet aan deze eisen? Dan is de toestemming niet geldig. Je mag de persoonsgegevens dan niet verwerken.

Toestemming bij kinderen

De AVG geeft kinderen jonger dan 16 jaar extra bescherming. Want kinderen kunnen de risico’s van een gegevensverwerking niet of minder goed inschatten. Daarom moeten zij toestemming hebben van de persoon die de ouderlijke verantwoordelijkheid draagt.

Verantwoordingsplicht

Als je je wilt baseren op de grondslag toestemming moet je er voor zorgen dat je kunt aantonen dat je die toestemming op de juiste manier hebt gevraagd en gekregen. Onder de AVG heb je namelijk een verantwoordingsplicht.

Mensen hebben volgens de AVG voortaan het ‘recht op vergetelheid’. In gewone taal: het recht om vergeten te worden.

Als u niet wilt dat bijvoorbeeld negatieve of beschamende informatie over u op een sociaal netwerk terug te vinden is, kunt u verzoeken die data te verwijderen.

Een bedrijf hoeft niet altijd aan uw eis om informatie over u te verwijderen te voldoen: zo mag een nieuwssite bijvoorbeeld nog steeds een negatief verhaal over iemand met naam en toenaam brengen, zolang dat bericht maar klopt. Het recht op persvrijheid in de Grondwet is sterker dan de AVG.

Foto’s en berichten die door minderjarigen zijn geplaatst, moeten op verzoek wel altijd worden verwijderd.

Nee, bedrijven mogen in veel gevallen ook persoonsgegevens verzamelen en verwerken zonder dat een gebruiker daarvoor toestemming geeft. Toestemming is bijvoorbeeld niet nodig als de persoonsgegevens nodig zijn om de dienst te leveren waar je als gebruiker om vraagt.

Ja, ook als je je niet specifiek hebt aangemeld voor bijvoorbeeld een nieuwsbrief, mogen bedrijven je in sommige gevallen een e-mail sturen. Een bedrijf mag bestaande klanten berichten sturen over producten die te maken hebben met wat ze eerder hebt gekocht.

Load More