GDPR: Wat moet er worden gedaan om toestemming aantoonbaar te maken?

Posted by media on 24-mei-2018 9:00:00

toestemming_aantonen_gdpr.png

De nieuwe Europese Algemene Verordening Gegevensbescherming (GDPR) introduceert vele veranderingen voor de manier waarop persoonsgegevens worden verzameld en verwerkt waarbij het concept van toestemming een van de belangrijkste veranderingen is.

Deze nieuwe verordening versterkt de wilsuiting van de gebruiker zodat er bij zijn beslissing geen ruimte is voor twijfels of dubbelzinnigheden. Bovendien moet deze toestemming aantoonbaar zijn volgens het principe van actieve verantwoordelijkheid.

In deze post analyseren we dit concept en wat de verantwoordelijken moeten aantonen om te voldoen aan de GDPR met betrekking tot toestemming.

Deze post is ook beschikbaar in het Engels.

  Inhoudsopgave

2. Wanneer en hoe werd er toestemming gegeven?

3. Welke informatie heeft de geïnteresseerde ontvangen?

 

GDPR: Wat is toestemming?

Toestemming is de handeling waarbij de belanghebbende de verwerking van zijn persoonsgegevens aanvaardt. Toestemming is daarom niet meer dan het aantonen van de bereidheid van de gebruiker om zijn persoonsgegevens te delen.

De GDPR behoudt deze definitie met betrekking tot de vorige richtlijn maar wijzigt de nodige omstandigheden waarin deze toestemming moet worden verleend. Artikel 4.11 bepaalt:

“‘Toestemming’ van de betrokkene is elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de verwerking van zijn persoonsgegevens aanvaardt”.

 

Wat is een "duidelijke actieve handeling"?

Deze verandering betekent dat stilzwijgende toestemming niet langer geldig is. Dit wordt in de wet duidelijk omschreven als: "stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden."

Toestemming moet worden verleend door een duidelijke actieve handeling die de bereidheid voor het accepteren van de verwerking van persoonsgegevens aantoont.

Dit kan het klikken op een vakje (opt-in) op een website zijn, dus op digitale wijze, of een andere verklaring die duidelijk aangeeft dat de belanghebbende het voorstel voor de verwerking van hun persoonsgegevens aanvaardt.

 

Minderjarigen

Er vindt ook een verandering plaats in de nieuwe verordening voor gegevensbescherming met betrekking tot de gegevens en toestemming van kinderen.

De verwerking van de persoonsgegevens van een kind is geoorloofd wanneer het kind minstens 16 jaar oud is. Wanneer het kind jonger dan 16 jaar is, is deze verwerking alleen geoorloofd in hoeverre er toestemming wordt gegeven door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

De lidstaten kunnen een wettelijke aanpassing voor een lagere leeftijd vaststellen, mits deze lagere leeftijd niet jonger is dan 13 jaar.

 

GDPR_minderjarigen.jpg


Wat moet er worden gedaan om toestemming aantoonbaar te maken?

Naast het voldoen aan de genoemde vereisten moeten meerdere details achteraf te achterhalen zijn aangezien de toestemming aantoonbaar moet zijn.

Dankzij het beginsel van "verantwoording" of "actieve verantwoordelijkheid" is het noodzakelijk om effectieve mechanismen in te stellen om de bereidheid aan te kunnen tonen van alle mensen die hun toestemming verlenen. Het gaat dus om het bewijs van toestemming.


 “Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.”

                                                                                                       Artikel 7, GDPR


Om te kunnen zeggen dat toestemming aantoonbaar is moeten bedrijven het volgende kunnen documenteren:

 

1. Wie heeft er toestemming gegeven?

Het moet mogelijk zijn om de eigenaar van de gegevens te identificeren door zijn/haar volledige naam of andere informatie die hem/haar kan identificeren. Daarnaast moet het mogelijk zijn om aan te tonen of de toestemming is ingetrokken of niet. In gevallen waarin het is ingetrokken moet er aangetoond kunnen worden wanneer het werd ingetrokken.

 

2. Wanneer en hoe werd er toestemming gegeven? 

Als de toestemming op geschreven wijze online wordt gegeven is het noodzakelijk om deze te verkrijgen met een tijdstempel.

In de eIDAS-verordening wordt een elektronische tijdstempel gedefinieerd als "gegevens in elektronisch formaat die andere gegevens in een elektronisch formaat aan een specifiek moment koppelen en het bewijs leveren dat die laatste gegevens op dat moment bestonden."

In het geval dat de toestemming offline, op geschreven wijze (dus op papier), wordt verkregen is het noodzakelijk om een kopie - met datum en handtekening van de belanghebbende - van het document (de toestemming) te verstrekken samen met de informatieve clausules.

tijdstempel_elektronisch_bewijs.jpg

 

3. Welke informatie heeft de geïnteresseerde ontvangen?

De GDPR legt veel nadruk op transparantie: de informatie in artikelen 13 en 14 moet worden verstrekt en de mededelingen moeten duidelijk, correct en informatief zijn.

De GDPR raadt aan om deze informatie in een gelaagd systeem te verstrekken:

  • Een eerste laag waarin de basisinformatie moet worden gepresenteerd op een manier die gemakkelijk zichtbaar is voor de belanghebbende en met de meest relevante aspecten in verband met de verwerking van de gegevens van diegene.
  • Een tweede laag waar de informatie op een meer gedetailleerde manier wordt verzameld en via een link kan worden geopend.

In de eerste laag moeten de volgende aspecten in ieder geval worden vermeld:

  • Partij die verantwoordelijk is voor de verwerking van de gegevens: inclusief de bedrijfsnaam van die partij.
  • Doel van de verwerking: bijvoorbeeld het beheer van een abonnement.
  • Rechtmatigheid van verwerking: de rechtsgrondslag waarop de verwerking is gebaseerd die in artikel 7 wordt gereguleerd, in dit geval de toestemming van de belanghebbende.
  • Ontvangers: partijen die verantwoordelijk zijn voor de verwerking, binnen en buiten de EU.
  • Rechten: er kan een korte verwijzing worden gemaakt naar het bestaan van de meest voorkomende rechten en een verwijzing naar de corresponderende titel in de aanvullende informatie.
  • Aanvullende informatie: tot slot moet er duidelijk worden aangegeven waar en hoe de aanvullende informatie in de tweede laag toegankelijk is. Bijvoorbeeld met de volgende verwijzing: "U kunt de aanvullende en gedetailleerde informatie over gegevensbescherming via deze link raadplegen ...".

  


Meer informatie > GDPR: wanneer is er uitdrukkelijke toestemming nodig van de klant?


Signaturit: 4 snelle en effectieve oplossingen voor het verkrijgen van de ondubbelzinnige en/of uitdrukkelijke toestemming van uw klanten

Om stilzwijgende toestemming om te zetten in ondubbelzinnige en/of uitdrukkelijke toestemming biedt Signaturit 4 speciaal ontworpen oplossingen om deze wettelijke eisen te automatiseren volgens de behoeften van elk bedrijf zoals we in deze eerdere post hebben uitgelegd.  

 

Conclusie

De toestemming van de belanghebbenden wordt gepresenteerd als "het bolwerk van de rechtmatige wilsuiting van de betrokkene" en er zijn geen shortcuts bij het verkrijgen ervan noch zijn er mazen in de wetgeving bij het aantonen van toestemming.

Nu de GDPR bijna in werking treedt, moeten bedrijven op de hoogte zijn van de juridische en praktische gevolgen van deze wijziging voor hun dagelijkse activiteiten.

Ze moeten de manier waarop ze toestemming verkrijgen beoordelen en vastleggen, de praktijken die onder de zogenaamde stilzwijgende toestemming vallen elimineren en de nodige mechanismen opnemen in de processen om de rechtmatige toestemming van de gebruiker aan te kunnen tonen.

Deze post is ook beschikbaar in het Engels.

Basisgids Algemene Verordening Gegevensbescherming (GDPR)

Topics: GDPR

Blog Inschrijving

Recente Posts