GDPR: welke oplossingen bieden we voor het rechtmatig verkrijgen van toestemming?

Posted by media on 26-apr-2018 9:00:00

 

signaturit_gdpr_oplossingen_verkrijgen_toestemming.png

Wanneer de Europese Algemene Verordening Gegevensbescherming van kracht zal zijn op 25 mei 2018 zullen bedrijven, freelancers en instellingen up-to-date moeten zijn als ze willen voldoen aan de nieuwe vereisten.

Een van de belangrijkste vereisten die wordt ingevoerd is de manier waarop de verwerkingsverantwoordelijken toestemming verkrijgen van de betrokkenen (de eigenaren) om hun persoonsgegevens te verwerken en vooral ook hoe ze kunnen aantonen dat zij dat op een rechtsgeldige manier hebben gedaan.

In deze post geven we een korte samenvatting van de elementen van toestemming en welke oplossingen Signaturit biedt om bedrijven te helpen bij het naleven van de regelgeving op dit specifieke onderwerp.

Deze post is ook beschikbaar in het Engels.

    Inhoudsopgave

  • Het concept van toestemming in de GDPR

  • Uitdrukkelijke toestemming, een extra garantie

  • Rechtmatige toestemming moet niet alleen worden verkregen, maar moet ook kunnen worden aangetoond

    1. En hoe zit het met toestemming die verkregen is vóór 25 mei 2018?

  • Signaturit’s elektronische handtekening, een snelle en kosteffectieve oplossing voor het verkrijgen van ondubbelzinnige en/of uitdrukkelijke toestemming

    • Level 1 - Basis consent

    • Level 2 - Basis+ consent

    • Level 3 - Geavanceerd consent

    • Level 4 - Versterkt consent

  • Conclusie

 

Het concept van toestemming in de GDPR

Het rechtmatig verwerken van persoonsgegevens betekent in de eerste plaats dat de gegevens worden verwerkt met de toestemming van de betrokkene of in overeenstemming met een andere legitieme basis die is vastgesteld door de GDPR in art. 6 zoals we in eerdere post hebben uitgelegd.

Dus als toestemming van de betrokkene de wettelijke basis voor verwerking is, moet de verwerkingsverantwoordelijke voldoen aan de voorschriften van de verordening voor het verkrijgen en aantonen van toestemming.

Om het gemakkelijker te maken om aan de vereisten te voldoen heeft de Artikel 29-werkgroep (WP29) - een verzameling van alle gegevensbeschermingsautoriteiten van de lidstaten - enkele richtlijnen gepubliceerd waarin het begrip toestemming volgens de verordening uitvoerig is beschreven.

artikel_29_werkgroep_gegevensbescherming.png

 


Artikel 4 van de GDPR definieert toestemming als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van een verklaring of een ondubbelzinnige actieve handeling, de verwerking van zijn/haar persoonsgegevens aanvaardt".

Aan de basis van de definitie geven de richtlijnen dus een reeks fundamentele elementen voor het beoordelen of de toestemming van een betrokkene geldig is onder de GDPR:

  • Ondubbelzinnig: de toestemming vereist een verklaring van de betrokkene of een duidelijke bevestigende handeling, wat betekent dat deze altijd moet worden gegeven door middel van een actieve handeling of verklaring. Stilzwijgendheid of inactiviteit van de kant van de betrokkene of het gebruik van vooraf aangevinkte vakjes is vanaf 25 mei 2018 niet meer geldig. Het moet duidelijk zijn dat de persoon heeft ingestemd met de gegevens die worden verwerkt.

  • Vrij gegeven: de toestemming vereist een verklaring van de betrokkene of een duidelijke bevestigende handeling, wat betekent dat deze altijd moet worden gegeven door middel van een actieve handeling of verklaring. Stilzwijgendheid of inactiviteit van de kant van de betrokkene of het gebruik van vooraf aangevinkte vakjes is vanaf 25 mei 2018 niet meer geldig. Het moet duidelijk zijn dat de persoon heeft ingestemd met de gegevens die worden verwerkt.

  • Specifiek:  toestemming moet alleen worden gevraagd om persoonsgegevens voor een bepaald doel te verwerken. Dit betekent dat data controllers afzonderlijke toestemming moeten krijgen voor elk specifiek doel.

  • Intrekbaar:  betrokkenen hebben het recht om hun toestemming te allen tijde in te trekken.

  • Geïnformeerd:  toestemming wordt beschouwd als volledig geïnformeerd als ten minste de volgende informatie aan de betrokkene is verstrekt:

    (1) de identiteit van de controller;
    (2) het doel van alle verwerkingen waarvoor de toestemming wordt gevraagd;
    (3) het soort gegevens dat wordt verzameld en gebruikt;
    (4) het bestaan van het recht om toestemming in te trekken;
    (5) informatie over het gebruik van de gegevens voor beslissingen die uitsluitend zijn gebaseerd op geautomatiseerde verwerking, inclusief profilering;
    (6) informatie over de mogelijke risico's van gegevensdoorgifte aan derde landen bij gebrek aan een adequaatheidsbesluit en passende waarborgen (indien de toestemming betrekking heeft op doorgiften).

  • Duidelijk en eenvoudig:  het gebruik van duidelijke taal die gemakkelijk door de gemiddelde gebruiker kan worden begrepen is onmisbaar. Het moet ook te onderscheiden zijn van andere zaken; het is bijvoorbeeld niet toegestaan om toestemming te vragen midden in de algemene voorwaarden.

 het_concept_van_toestemming_GDPR.jpg


Uitdrukkelijke toestemming, een extra garantie

Betrokkenen moeten hun toestemming geven door middel van een uitdrukkelijke verklaring in de volgende situaties:

  • Waar speciale gegevens (ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens met betrekking tot gezondheid of seksleven en/of seksuele geaardheid) moeten worden verwerkt.
  • Voor doorgifte naar landen buiten de EU.
  • Voor geautomatiseerde besluitvorming, waaronder profilering.

Als de GDPR een "duidelijke actieve handeling" vereist voor het verwerken van "normale" gegevens is er een hogere standaard vereist om uitdrukkelijke toestemming te verkrijgen.

In de elektronische context kan de betrokkene een uitdrukkelijke toestemmingsverklaring afleggen door een formulier in te vullen, door een gescand document te verstrekken of door een elektronische handtekening te gebruiken zoals aanbevolen door WP29.

Sancties in de Europese Verordening Gegevensbescherming

Gegevens verwerken zonder de uitdrukkelijke toestemming van de betrokkene.

  • Momenteel: een boete van maximaal 300 duizend euro.
  • Onder de GDPR: 20 miljoen euro of 4% van de totale jaaromzet van het voorgaande boekjaar.

sancties_in_avg.jpg

 

Rechtmatige toestemming moet niet alleen worden verkregen, maar moet ook kunnen worden aangetoond

Op grond van de GDPR moeten verwerkingsverantwoordelijken aantonen dat zij een geldige toestemming hebben verkregen. Zij zullen ook de toestemming moeten behouden, want de bewijslast rust op hen als het erop aan komt.

De verwerkingsverantwoordelijke moet ook aantonen dat de betrokkene op de hoogte was en dat hij aan alle relevante criteria voor een geldige toestemming voldeed. De basis van deze verplichting is het beheren van bestanden die bewaard moeten worden  om het beste bewijs van naleving te kunnen leveren om een eventuele claim van Europese burgers of de bevoegde autoriteiten te verdedigen.

 

En hoe zit het met toestemming die verkregen is vóór 25 mei 2018?

Het is belangrijk dat verwerkingsverantwoordelijken hun processen en bestanden herzien om ze bij te werken in overeenstemming met de huidige processen, zodat de toestemming die vóór 25 mei is verkregen voldoet aan de nieuwe vereisten.

In de praktijk betekent dit dat als de verwerking voorafgaand aan de GDPR is gebaseerd op toestemming en dit niet voldoet aan de nieuwe eisen van de Europese verordening, de verwerkingsverantwoordelijken moeten beoordelen of zij deze verwerking kunnen baseren op andere juridische gronden, of dat ze opnieuw toestemming moeten verkrijgen van de betrokkene in overeenstemming met de huidige vereisten.

 

Signaturit’s elektronische handtekening, een snelle en kosteneffectieve oplossing voor het verkrijgen van ondubbelzinnige en/of uitdrukkelijke toestemming

Toestemming op handmatige manier verkrijgen op papier of met behulp van standaard computermiddelen is volstrekt ongeschikt voor ieder innovatief bedrijf dat zich bezighoudt met de efficiëntie en legaliteit van hun interne processen.

Daarom geven we hieronder een eenvoudige uitleg van de verschillende opties die we speciaal voor dit doel hebben ontworpen. Hiermee kunt u deze wettelijke vereiste automatiseren in overeenstemming met de specifieke behoeften van uw bedrijf:

Level 1 – Basis eConsent

Als basisniveau om aan te tonen dat toestemming is gegeven hebben we een 'script' ontwikkeld dat kan worden opgenomen in iedere website of applicatie.

Wanneer iemand het formulier invult om toestemming te geven voor de verwerking van zijn persoonsgegevens zal Signaturit dat document opslaan, alsook de algemene voorwaarden die de gebruiker accepteert door op de knop "Accepteren" te klikken.

Dit kan bijvoorbeeld worden gebruikt voor het accepteren van cookies of het accepteren van de algemene voorwaarden van een bedrijf indien dit noodzakelijk is om een transactie uit te voeren.


Level 2 – Basis+ eConsent

In dit geval voegen we naast het opslaan van het elektronische bewijs van de context een tweede authenticatiefactor toe door het valideren van de toestemming via een OTP (one-time-password) of een tijdelijke validatiecode die we via SMS of e-mail aanleveren.

In beide gevallen hebben we naast het verzamelen van dezelfde gegevens als in de Level 1-oplossing - IP-adres, browser en de tijd en datum van de actie - ook de e-mail en/of het telefoonnummer van de betrokkene.

Die informatie biedt een hoger betrouwbaarheidsniveau dan de eerste oplossing bij het identificeren van de betrokkene.

Een goed voorbeeld voor het gebruik van deze oplossing is de vernieuwing van toestemmingen die al eerder zijn verkregen.

 

toestemming_valideren_met_OTP.png
 

Level 3 – Geavanceerd eConsent

Met de Geavanceerde eConsent kunnen we de persoon die toestemming verleent op unieke wijze identificeren. Deze oplossing is ontworpen voor de gevallen waarin de toestemming van de betrokkene uitdrukkelijk moet zijn (zowel als ondubbelzinnig).

Om dit te doen wordt de betrokkene gevraagd om de inhoud van de toestemming handgeschreven te ondertekenen met de vinger (op smartphone of tablet) of met de muis (via een laptop of desktop computer).

Dit is onze geavanceerde elektronische handtekening die ons een reeks van gegevens geeft waarmee we de ondertekenaar op exclusieve en uitdrukkelijke manier kunnen identificeren.

Dit kan worden gebruikt in gevallen waarin de te verwerken persoonsgegevens gevoelig zijn, of wanneer er voorwaarden worden geaccepteerd voor de doorgifte van gegevens buiten de EU, of in het geval van geautomatiseerde besluitvorming, waaronder profilering.


tekenen_via_telefoon_Signaturit

Level 4 – Versterkt eConsent

Deze oplossing is gebaseerd op level 3, waaraan een extra stap is toegevoegd: de bevestiging van de foto van het identiteitsbewijs (ID of paspoort) van de persoon die zijn toestemming verleent met behulp van onze OCR-technologie.

Om het proces af te ronden moet deze stap worden voltooid op het moment dat de inhoud van de toestemming wordt ondertekend.

Deze optie wordt aanbevolen voor procedures waarbij er een hoge vereiste is om de identiteit aan te tonen van de persoon die zijn/haar toestemming geeft.

 

Samenwerking met De Groote - De Man

We hebben onze oplossingen voor het verkrijgen van toestemming in overeenstemming met de GDPR ontwikkeld met het Belgische advocatenkantoor De Groote - De Man, die wordt beschouwd als een pionier op het gebied van innovatieve rechtspraak en dan ook de winnaar is van de prestigieuze Financial Times Innovative Lawyers Award in 2017.

De Groote de Man biedt expertise op verschillende vlakken, waarvan GDPR één van de belangrijkste specialiteiten is. Volgens Jeroen De Man, Managing Partner, is "eConsent een echt hulpmiddel die een waterdichte oplossing biedt voor alle bedrijven in Europa om te voldoen aan de wet. Dankzij de vier verschillende modules kan het een match zijn voor ieder bedrijf."

DGDM-Blauw-Zwart


Conclusie

De aanpassing van de mechanismen voor het verzamelen en verwerken van gegevens om te voldoen aan de nieuwe visie van de verordening is een van de belangrijkste uitdagingen waarmee verwerkingsverantwoordelijken of verwerkers zullen worden geconfronteerd.

Signaturit heeft daarom 4 oplossingen ontwikkeld die u op praktische wijze helpen om te voldoen aan de hoogste wettelijke garanties van de nieuwe Europese regelgeving.

Deze volledig rechtsgeldige hulpmiddelen zullen bedrijven in staat stellen om te verklaren dat een betrokkene op een bepaald moment zijn of haar toestemming heeft gegeven en met welke voorwaarden zij hebben ingestemd. Dit lost de kwestie van bewijslast dus op.

Mocht u vragen hebben over hoe u toestemming kunt verkrijgen met de genoemde oplossingen kunt u de onderstaande gids downloaden waarin we onze services in detail uitleggen.

U kunt ook contact met ons opnemen door een e-mail te sturen naar info@signaturit.com of ons te bellen op +31 208 086 203.

Deze post is ook beschikbaar in het Engels.


 Basisgids Algemene Verordening Gegevensbescherming (GDPR)

Topics: GDPR

Blog Inschrijving

Recente Posts