Toestemming van de klant met de nieuwe GDPR: hoe verkrijgt u dat?

Posted by media on 1-mrt-2018 9:00:00

GDPR_ondubbelzinnige_toestemming_25_mei_consent

Heeft u er al over nagedacht hoe u toestemming gaat krijgen van klanten om hun persoonlijke gegevens te kunnen verwerken en gebruiken in alle interacties van uw bedrijf met hen vanaf 25 mei 2018?

Op die datum zal de nieuwe Europese ‘General Data Protection Regulation (GDPR)’, ofwel Algemene Verordening Gegevensbescherming (AVG), in de hele Europese Unie van kracht worden en zullen de bedrijven de gegevens van hun klanten niet kunnen gebruiken tenzij ze kunnen aantonen dat zij hun ondubbelzinnige toestemming hiervoor hebben (naast andere vereisten).

In deze post, leggen we uit wat er precies bedoeld wordt met de GDPR-uitdrukking ‘ondubbelzinnige toestemming’ , welke mogelijkheden er zijn om aan deze vereiste te voldoen, en hoe men zo’n ondubbelzinnige toestemming gemakkelijk, snel en kosteneffectief kan verkrijgen.

Deze post is ook beschikbaar in het Engels.

 

GDPR versterkt de bescherming van persoonlijke gegevens

De nieuwe Algemene Verordening Gegevensbescherming staat niet toe dat de stilzwijgende of impliciete toestemming van klanten wordt gebruikt om door te gaan met de verwerking van hun gegevens. .

Een van de doelstellingen van de GDPR is het versterken van de gegevensbescherming van Europese burgers. Zij moeten de waarde van hun persoonlijke informatie als gebruikers van services terug in handen nemen en hun persoonlijke gegevens alleen toevertrouwen aan bedrijven die actief kunnen zorgen voor hun bescherming.

Daarom krijgt de toestemming voor de verwerking van persoonsgegevens meer relevantie in de nieuwe Europese verordening. De stilzwijgende of impliciete toestemming wordt niet langer goedgekeurd.

Vanaf 25 mei 2018, moet de toestemming van de klanten of gebruikers worden verkregen op een manier dat er geen twijfel kan zijn over hun bereidheid om hun persoonlijke gegevens te delen.

Artikel 29-Werkgroep

De Europese Commissie heeft een onafhankelijk overlegorgaan opgericht, de Artikel 29-Werkgroep (WP29), om bedrijven te helpen zich aan te passen aan de nieuwe Algemene Verordening Gegevensbescherming.

Deze WP29 bestaat uit de toezichthoudende autoriteiten voor gegevensbescherming van alle lidstaten, de Europese Toezichthouder voor Gegevensbescherming (European Data Protection Supervisor) en de Europese Commissie - die secretariële functies vervult.

Op 28 november 2017 publiceerde de WP29 het concept voor Richtlijnen betreffende de  toestemming op grond van de GDPR (Engels) om het begrip van de term "toestemming" volgens Verordening 2016/679 te vergemakkelijken.

 

 

Europese_Commissie_logo_EU_GDPR

 

Wat is ondubbelzinnige toestemming in de nieuwe GDPR?

Toestemming is een van de voorwaarden voor het legaal verwerken van persoonsgegevens. De nieuwe GDPR heeft enkele vernieuwingen geïntroduceerd met betrekking tot de toestemming, in het bijzonder de eenduidige aard ervan.

Wat is toestemming?

GDPR definieert toestemming in Artikel 4.11:

"“instemming” van de betrokkene betekent elke vrijwillig gegeven, specifieke, geïnformeerde en ondubbelzinnige aanduiding van de wensen van de betrokkene waarmee hij of zij, door een verklaring of een duidelijke bevestigende handeling, instemt met de verwerking van persoonsgegevens die met hem of haar verbonden zijn;"

Aldus voegt GDPR uitdrukkelijk het ondubbelzinnige element toe met betrekking tot de vorige norm, die dit niet aanschouwde (Richtlijn 95/46 /EG).

Deze toevoeging vereist dat de belanghebbende partij de verwerking van zijn persoonsgegevens aanvaardt door middel van een verklaring, die op elektronische wijze gedaan kan worden.

Kort gezegd is het een wilsuiting die onafhankelijk wordt verkregen door het accepteren van een contract of het accepteren van de voorwaarden die van toepassing zijn op een dienst.

Het niet naleven van een vrijwillig gegeven, specifieke, geïnformeerde en ondubbelzinnige toestemming kan resulteren in een economisch verlies voor het betreffende bedrijf in de vorm van boetes en straffen zoals geregeld in de Verordening, evenals mogelijke burgerlijke aansprakelijkheid ten gunste van de getroffen partij.


De uitdrukkelijke toestemming

De verordening geeft aan dat er een uitdrukkelijke toestemming nodig zou kunnen zijn om de volgende gegevens te behandelen:

  • voor speciale categorieën van gegevens (Artikel 9)
  • voor grensoverschrijdende gegevensoverdrachten (Artikel 49)
  • voor profileringsactiviteiten (Artikel 22)

In deze gevallen, wordt het passend geacht om het niveau van individuele controle op persoonlijke gegevens te verhogen. Een voor de hand liggende manier om ervoor te zorgen dat de toestemming expliciet is, is door middel van een schriftelijke verklaring die door de betrokken partij ondertekend wordt.

In de digitale context kan deze schriftelijke verklaring worden ondertekend met behulp van de elektronische handtekening, een medium dat rechtstreeks wordt aanbevolen door WP29 (4. Verkrijgen van uitdrukkelijke toestemming). Dit elimineert alle mogelijke twijfels en het potentiële gebrek aan bewijs bij het verkrijgen van uitdrukkelijke toestemming.

electronic_signature.png

Bovenop de ondubbelzinnigheid, moet toestemming vrijwillig, specifiek en geïnformeerd zijn

De andere toestemmingsvereisten, bovenop de ondubbelzinnigheid, zijn ook onderdeel van de analyse van de Artikel 29-Werkgroep:

  • VRIJWILLIG:

Om de toestemming vrijwillig te maken, moet er een echte optie en controle door de belanghebbende partij zijn.

Bovendien, stelt de Artikel 29-Werkgroep dat toestemming niet als vrijwillig wordt beschouwd wanneer de weigering of intrekking van de toestemming negatieve gevolgen voor de belanghebbende inhoudt.

  • SPECIFIEK:

De doeleinden van gegevensverwerking moeten specifiek worden weergegeven en kunnen niet worden uitgebreid als de betreffende persoon heeft ingestemd met het verzamelen en verwerken van hun gegevens.

De behoefte aan toestemming moet gedetailleerd zijn, dat wil zeggen dat er een keuze is voor toestemming voor elk doel.

Dit moet allemaal toegelicht worden door specifieke en afzonderlijke informatie voor elke losse toestemming.

  • GEÏNFORMEERD:

Als de controller geen informatie beschikbaar maakt voor de belanghebbende partij, is de toestemming niet geldig.

De Artikel 29-Werkgroep vermeldt de minimale inhoud van de noodzakelijke informatie, waarmee wordt aangegeven dat het in sommige situaties noodzakelijk is om deze informatie uit te breiden om te garanderen dat de persoon de verwerkingen begrijpt die zullen worden uitgevoerd met zijn persoonsgegevens.


Het is niet toegestaan om een uitgebreid privacybeleid te gebruiken dat onleesbaar is of vol juridische terminologie staat.


Toestemming moet duidelijk zijn en te onderscheiden van andere zaken. Dit betekent dat de relevante informatie niet kan worden gecamoufleerd in een paragraaf in de algemene voorwaarden.

 

Welke informatie moet volgens GDPR aan belanghebbende partijen worden aangeboden?

In algemene zin, moet de informatie die belanghebbenden moeten verstrekken het volgende bevatten:

  1. De behoefte voor gegevensverwerking, evenals de reden en de periode (voor hoe lang de data zal worden gebruikt).
  2. De rechten van de belanghebbende partij en hoe deze uitgeoefend zullen worden.
  3. Informatie met betrekking tot de gegevensbeheerder en/of verwerker, evenals de functionaris voor gegevensbescherming mocht die er zijn..

 

Wat gebeurt er met de toestemmingen die voor 25 mei 2018 verkregen zijn?

De toestemmingen die verkregen zijn voor de ingang van de GDPR - 25 mei 2018 - zullen alleen geldig blijven als ze op een manier verkregen zijn die overeenkomt met de criteria die zijn vastgelegd in de verordening.

Dit betekent dus dat dit ondubbelzinnige toestemmingen van vrije wil zijn en dat het ook verifieerbaar is.

De WP29 adviseert dat alle bedrijven hun systemen en procedures voor het verzamelen van persoonsgegevens herzien, om ervoor te zorgen dat ze voldoen aan de vereisten van de verordening. Waarschijnlijk zullen veel van deze systemen en procedures moeten worden bijgewerkt.

Bedrijven moeten ook nagaan dat er opties beschikbaar zijn om gemakkelijk toestemming in te trekken, en dat er informatie over hen wordt verstrekt aan de geïnteresseerde partij.

Om de situatie te vermijden waarin de verwerking van persoonsgegevens als illegaal wordt bestempeld omdat er niet aan de voorschriften van de nieuwe verordening voldaan wordt, wordt het aanbevolen dat de Data Controller opnieuw toestemming verkrijgt van al die klanten die al toestemming hebben verleend voor 25 mei 2018. Die gegevens zijn dan waarschijnlijk verkregen zonder rekening te houden met de eisen die door de nieuwe GDPR worden gesteld.

 

Welke opties hebben bedrijven om te voldoen aan de toestemmingsvereisten?

De verordening bepaalt dat de manifestatie van toestemming ondubbelzinnig moet zijn, door middel van een verklaring of een duidelijke bevestigende handeling.

In Whereas 32 zegt de GDPR het volgende over de verklaring of duidelijke bevestigende handeling:

"kan een vakje aankruisen omvatten bij het bezoeken van een website, het kiezen van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of gedrag dat duidelijk aangeeft in dit verband dat de betrokkene de voorgestelde verwerking van zijn of haar persoonlijke gegevens aanvaardt" op een manier dat "stilte, vooraf aangevinkte vakjes of inactiviteit daarom geen toestemming zouden kunnen zijn".

Het is daarom duidelijk dat stilzwijgende toestemming niet meer geldig is vanaf 25 mei 2018.

De Artikel 29-Werkgroep stelt vast dat het concept "duidelijke bevestigende actie" de uitvoering impliceert van een actieve motie of verklaring van de belanghebbende partij om aan te tonen dat aan een specifieke verwerking van persoonsgegevens is voldaan.

In het geval dat gegevens online worden verzameld, is het geldig om een vakje in een webformulier in te voegen waaruit blijkt dat de belanghebbende instemt met de voorgestelde verwerking van zijn persoonsgegevens. Zoals vermeld, kan dit vak op geen enkele manier vooraf worden gemarkeerd.

Hoewel het misschien eenvoudig lijkt om een checkbox op een website te integreren die de gebruiker moet aanvinken om zijn / haar toestemming te registreren, moet deze ook verifieerbaar zijn om legitiem te zijn. Het is niet langer genoeg om het te verkrijgen in overeenstemming met de bepalingen van de GDPR, we moeten ook kunnen aantonen dat we dit hebben gedaan.


 Toestemming moet verifieerbaar zijn dankzij het principe van "verantwoording".


 

Wat moet er gedaan worden om toestemming verifieerbaar te maken?

Om te kunnen zeggen dat de toestemming verifieerbaar is, moeten bedrijven het volgende kunnen bewijzen en documenteren:

  1. Wie heeft de toestemming gegeven?

Het moet mogelijk zijn om de eigenaar van de gegevens te identificeren via de naam of via andere elementen die ze kunnen identificeren. Bovendien moet het mogelijk zijn om aan te tonen of de toestemming is ingetrokken of niet. In het geval dat het is ingetrokken, moet het mogelijk zijn om aan te tonen wanneer het is ingetrokken.

  1. Wanneer en hoe werd er toestemming verleend?

Als de toestemming schriftelijk en online is, is het noodzakelijk om deze te verkrijgen met een tijdstempel.

In het geval dat toestemming schriftelijk en offline wordt verkregen, is het noodzakelijk om een kopie te verstrekken - met datum en handtekening van de belanghebbende - van het document (de toestemming) met informatieve clausules.

  1. Welke informatie heeft de persoon ontvangen die toestemming heeft gegeven?

Om aan de gestelde eis voor meer informatie van de GDPR te voldoen, is het raadzaam om een informatiemodel met verschillende lagen/niveaus in te voeren:

Eerste laag: basisinformatie

Deze basisinformatie moet op een manier worden gepresenteerd die gemakkelijk zichtbaar is voor de geïnteresseerde. Om het te identificeren, moet een titel zoals "Basisinformatie over gegevensbescherming" worden gebruikt.

Tweede laag: aanvullende informatie

Deze informatie moet, met alle details, de samengevatte informatie aanvullen evenals aanvullende informatie die vereist is door de GDPR en niet is opgenomen in de eerste laag.

Het is van essentieel belang om een kopie te hebben van het formulier dat wordt gebruikt om de gegevens van de belanghebbende partij te verkrijgen, of een kopie van het systeem voor het vastleggen van gegevens, met de informatie die aan de eigenaar van de gegevens is verstrekt. 

  • Een aantal voorbeelden

    • Online formulieren: u moet over opnamen van de informatielagen beschikken met de bijbehorende tijdstempels.
    • Offline formulieren: u moet het formulier op papier hebben, met de datum en de handtekening van de eigenaar van de gegevens samen met de informatieve clausules die zijn verstrekt.
    • Double opt-in: dit is het geval waarin de geïnteresseerde een verificatie-e-mail wordt gestuurd om hun registratie of abonnement te bevestigen. In deze e-mail kunt u de informatielagen invoegen en het proces vastleggen.

Hoe kan ondubbelzinnige toestemming eenvoudig, snel en kosteneffectief worden verkregen?

Zoals vermeld, moeten we onthouden dat de toestemming verifieerbaar moet zijn: degenen die persoonsgegevens verzamelen moeten kunnen bewijzen dat de belanghebbende zijn toestemming heeft gegeven.

Daarom is het belangrijk om de toestemmingsregistratiesystemen te herzien, zodat het mogelijk is om deze tijdens een audit te verifiëren.

De Data Controller is vrij om de manier te implementeren waarop toestemming wordt verkregen die het beste past bij de interne processen van het bedrijf, evenals de meest geschikte technische en organisatorische maatregelen om de juiste procedure voor het verkrijgen van de informatie aan te tonen.


De elektronische handtekening van Signaturit is een snelle en kosteneffectieve oplossing om de ondubbelzinnige en/of expliciete toestemming te verkrijgen.


Om de stilzwijgende toestemmingen in ondubbelzinnig en/of expliciet te veranderen, wordt de elektronische handtekening van Signaturit als de beste oplossing gepresenteerd.

Een praktisch, veilig en legaal mechanisme dat “toestemming” via een elektronische handtekening omzet in een duidelijke bevestigende handeling, wat de GDPR dus vereist.

Door de tijdstempel, maakt de elektronische handtekening het mogelijk om de integriteit van de toestemming te bewijzen, en zo deze handeling om te zetten in een gemakkelijk en veilig proces met volledige wettelijke garanties.

 

Conclusie

Bedrijven die voor 25 mei 2018 aan de nieuwe Europese Algemene Verordening Gegevensbescherming willen voldoen, hebben slechts één optie: een grondige analyse uitvoeren om te kijken hoe ze gegevens van natuurlijke personen verzamelen en verwerken, en controleren of ze volledig voldoen aan de GDPR.

Bedrijven kunnen er niet op vertrouwen dat ze momenteel aan de nieuwe GDPR voldoen, omdat het belangrijke veranderingen met betrekking tot de vorige norm introduceert.

Daarnaast is het belangrijk om te vermelden dat, naast de hoge boetes die zijn vastgesteld voor het overtreden van een van de vereisten, er rekening moet worden gehouden met het feit dat de bewijslast niet ligt bij de eiser, maar bij de beklaagde.

De mechanismen van verzamelen en verwerken aanpassen om te voldoen aan de nieuwe visie van de Verordening, die de toestemming van de gebruiker versterkt zodat zijn/haar wil geen twijfel doet rijzen, is een van de belangrijkste uitdagingen die Data Controllers zullen moeten aannemen.

Als u vragen hebt over het verkrijgen van ondubbelzinnige toestemming met onze oplossing voor elektronische handtekeningen, kunt u een e-mail sturen naar info@signaturit.com of ons bellen op +34 93 551 14 80.

Deze post is ook beschikbaar in het Engels.

 

Basisgids Algemene Verordening Gegevensbescherming (GDPR)

 

Topics: GDPR

Blog Inschrijving

Recente Posts