MODULE 2 TOESTEMMING Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl -1-
In deze module behandelen we vraag 9 tot en met 13 van de Nul (0) meting. Hierin staat het verwerken van persoonsgegevens op grond van toestemming centraal. In de komende stappen besteden we aandacht aan: In kaart brengen gebruik van toestemming Juist en duidelijk informeren Actieve handeling Loggen toestemming Intrekken toestemming Vrijelijk geven van toestemming Toestemming en kinderen Doelbinding Het gebruik van persoonsgegevens moet rechtmatig zijn. Aan dit vereiste wordt voldaan als persoonsgegevens op basis van een grondslag worden gebruikt. De wet geeft 6 grondslagen, namelijk 1. Toestemming, 2. Uitvoer van een overeenkomst, 3. Wettelijke plicht, 4. Vitaal belang, 5. Uitvoer van algemeen belang (openbaar gezag) of 6. Belangenafweging. Toestemming is een duidelijke, actieve handeling van een betrokkene voor het gebruik van zijn/haar persoonsgegevens voor een helder omschreven doel. Toestemming als grondslag wordt vaak gebruikt voor het verwerken van persoonsgegevens bij het inschrijven voor de nieuwsbrief op een website. De actieve handeling bestaat dan uit het aanvinken van een hokje om akkoord te gaan met het op regelmatige basis ontvangen van een nieuwsbrief. Stap 1 In kaart brengen gebruik van toestemming Als eerste stap gaan we kijken of er binnen de organisatie op basis van toestemming persoonsgegevens worden verwerkt. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 2 -
Maak bijvoorbeeld in Excel een overzicht waarin staat waar binnen de organisatie gegevens op basis van toestemming worden verwerkt en vul deze in het schema in. Bijvoorbeeld: Cookies op de website Inschrijven voor de nieuwsbrief Plaatsen van bijzondere persoonsgegevens op Facebook Stap 2 Juist en duidelijk informeren Het doel waarvoor toestemming wordt verleend moet in duidelijke taal zijn uitgelegd. Oftewel, het moet voor de persoon die toestemming geeft duidelijk zijn waarom zijn gegevens gebruikt worden. De manier waarop de informatie wordt gegeven moet: Beknopt Transparant Begrijpelijk In een gemakkelijke toegankelijke vorm In duidelijke en eenvoudige taal zijn. Als de toestemming op basis van een schriftelijke mededeling door de betrokkene wordt gegeven (bijvoorbeeld via de website) dan is er nog een aandachtspunt. Bij het schriftelijk vragen van toestemming (zoals via een website) moeten alle doelen duidelijk en los van elkaar omschreven worden. Als de gegevens ook voor verschillende doelen gebruikt gaan worden, dan moeten alle doelen los van elkaar met een duidelijk onderscheid worden gepresenteerd. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 3 -
Dit is bijvoorbeeld het geval als iemand zich wil inschrijven voor een nieuwsbrief en zijn gegevens worden niet alleen gebruikt voor het sturen van de nieuwsbrief, maar ook voor bepaalde analyses, dan moeten beide doelen los van elkaar worden gepresenteerd. Dit is om te voorkomen dat iemand zich inschrijft voor een nieuwsbrief met de verwachting dat de gegevens alleen voor het sturen van een nieuwsbrief gebruikt worden, terwijl de gegevens ook voor een ander doel gebruikt worden. BELEID In de privacy policy worden de uitgangpunten voor het communiceren met betrokkenen uitvoerig in module 3 behandeld. Omschrijf in de privacy policy bij het hoofdstuk toestemming hoe de organisatie de bovenstaande uitgangspunten gebruikt in alle communicatie met betrokkenen en hoe dat is gewaarborgd, als op basis van toestemming persoonsgegevens van een betrokkene worden verwerkt. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 4 -
STAP 3 ACTIEVE HANDELING De betrokkene moet actief toestemming geven. Dit kan door mondeling akkoord te gaan of door verplicht een hokje aan te moeten aanvinken voordat hij/zij verder kan. Vooraf aangevinkte hokjes gelden niet als een actieve handeling waardoor persoonsgegevens op basis van toestemming mogen worden verwerkt. Ook geldt wie zwijgt stemt toe niet. Toestemming kan niet door stilzwijgen gegeven worden. Ga na of bij de in stap 1 ingevulde verwerkingen de betrokken personen op de juiste manier geïnformeerd zijn. Gebruik hiervoor de bovenstaande checklist en hou die tegen de manier aan waarop de betrokken personen worden geïnformeerd. Voldoet de tekst, dan kan je in het onderstaande overzicht een vinkje zetten in het tweede vak. Omschrijf daarnaast in het derde vak op welke manier de betrokken personen een actieve handeling verrichten bij het geven van de toestemming. Toestemming: Juist en duidelijk informeren: Actieve handeling: Cookies op website Accepteren van cookies dmv bumper Inschrijven voor een nieuwsbrief Aanvinken van een checkbox Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 5 -
Stap 4 Loggen toestemming De toestemming moet worden vastgelegd (bijvoorbeeld door het bijhouden van een logfile als dit door middel van een checkbox op de website gebeurt). De reden hiervoor is dat wanneer er persoonsgegevens verwerkt worden op basis van toestemming is, de gegevens toestemming moet kunnen worden aangetoond. Geef per verwerking aan of de toestemming wordt gelogd en op welke manier. Toestemming: Juist en duidelijk informeren: Actieve handeling: Log: Stap 5 Intrekken toestemming Toestemming moet door de betrokkene net zo makkelijk ingetrokken kunnen worden als deze wordt gegeven. Het verwerken van persoonsgegevens op basis van toestemming kan dus grote gevolgen hebben voor de organisatie, omdat bij het intrekken van de toestemming deze gegevens niet meer mogen worden gebruikt, tenzij er een andere verwerkingsgrond is voor het gebruik van de gegevens. Ga na welke mogelijkheden er binnen de organisatie zijn om de betrokkene zijn/haar toestemming gemakkelijk in te laten trekken. Denk hierbij bijvoorbeeld aan een mogelijkheid om je uit te schrijven voor de nieuwsbrief, e-mail adres waar klanten naar kunnen mailen, speciaal gedeelte op de website, etc. Als er nog geen mogelijkheden zijn om gemakkelijk de toestemming in te trekken voor de betrokkene, ga dan met de projectgroep na hoe dit het beste alsnog kan worden geregeld. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 6 -
Vul deze mogelijkheden in het onderstaande schema in bij de betreffende verwerkingen. Toestemming: Juist en duidelijk informeren: Actieve handeling: Log: Intrekken: Wanneer toestemming is ingetrokken moet er ook zorg voor gedragen worden dat niemand binnen de organisatie meer toegang heeft tot deze gegevens wat betreft dat specifieke doel. Ga na welke maatregelen jouw organisatie heeft getroffen om na ingetrokken toestemming ongeautoriseerde toegang en gebruik van de persoonsgegevens te voorkomen. BELEID Omschrijf in de privacy policy hoe het intrekken van toestemming is geborgd en welke maatregelen de organisatie heeft genomen om er voor te zorgen dat als de toestemming is ingetrokken, de gegevens niet langer gebruikt worden. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 7 -
Stap 6 Vrijelijk geven van toestemming Toestemming moet vrijelijk worden gegeven. Dat is niet mogelijk als er een er een duidelijk machtsverschil is tussen de betrokkene en de organisatie die de gegevens verwerkt. Een voorbeeld van zo n situatie is in het geval van de relatie tussen een werknemer en werkgever. De toestemming die een werknemer aan een werkgever verleent kan dan door dat machtsverschil niet vrijelijk zijn. De werknemer is voor inkomen, carrièrekansen en loonontwikkeling namelijk afhankelijk van de werkgever en kan hierdoor het gevoel krijgen verplicht te zijn toestemming te geven aan de werkgever zonder hier zelf 100% achter te staan. Ga na of de organisatie op basis van toestemming gegevens verwerkt van bijvoorbeeld werknemers of andere betrokkenen met een machtsverschil tussen de organisatie en de betrokkene. Als dit het geval is, bepaal dat of er een andere grondslag is om de gegevens te verwerken. Als er geen andere grondslag is om de gegevens te verwerken die op basis van toestemming worden verwerkt, dan kan het zijn dat de organisatie moet stoppen met de verwerking van deze gegevens. BELEID Omschrijf in de privacy policy dat er bij het verwerken van persoonsgegevens actief gekeken wordt of de toestemming vrijelijk wordt gegeven en dat als dat niet het geval is de persoonsgegevens niet (op basis van toestemming) worden verwerkt. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 8 -
Stap 7 Toestemming en kinderen Kinderen krijgen extra bescherming in de AVG bij het gebruik van hun persoonsgegevens. Dat komt omdat kinderen zelf minder goed de risico s van het verwerken van hun gegevens kunnen inschatten. Wanneer het kind jonger dan 16 jaar is, is verwerking op basis van toestemming alleen mogelijk wanneer er tevens toestemming is gegeven door een ouder/verzorger. Ga met de projectgroep na of er binnen de organisatie gegevens van kinderen worden verwerkt en of deze gegevens op basis van toestemming worden verwerkt. BELEID Indien jouw organisatie gegevens van kinderen jonger dan 16 jaar worden verwerkt op basis van toestemming, omschrijf dan in de privacy policy hoe er gecontroleerd wordt dat er toestemming van een ouder/verzorger wordt verkregen. Stap 8 Doelbinding en controle toestemming De toestemming is alleen geldig voor verwerkingen binnen het doel dat bij het geven van de toestemming is gecommuniceerd, of daarmee verenigbaar is. Wil een organisatie de gegevens voor een ander doel gebruiken, dan moet er opnieuw om toestemming gevraagd worden. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 9 -
Op 25 mei 2018 moeten alle verwerking op basis van toestemming voldoen aan de vereisten die we hierboven hebben behandeld. Als de toestemming niet volgens de vereisten van de AVG is gegeven, dan moet opnieuw toestemming gevraagd worden op een manier die wel aan de AVG voldoet. Controleer met de projectgroep of in alle gevallen waarbij (alleen) op basis van toestemming gegevens worden verwerkt of alle doelen waarvoor de gegevens worden verwerkt inderdaad gecommuniceerd zijn met de betrokkenen. Ga daarnaast na of de manier waarop toestemming gegeven is, voldoet aan de vereisten van de AVG. Als niet voldaan is aan de vereisten van de AVG, maak dan met de projectgroep een plan om opnieuw toestemming te vragen op een manier die wel voldoet aan de vereisten van de AVG. BELEID Omschrijf in de privacy policy op welke manier gecontroleerd wordt dat betrokkenen op de juiste manier om toestemming wordt gevraagd en dat als de persoonsgegevens voor een ander doel gebruikt gaan worden, er opnieuw toestemming wordt gevraagd en hoe dit gecontroleerd wordt. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 10 -
Jullie zijn nu klaar met de inhoudelijke stappen van module 2 Toestemming. Bekijk de aanpassingen die jullie in de privacy policy hebben gemaakt en bepaal of er nog aanvullingen of aanpassingen nodig zijn. Pix & Evi Privacy Solutions E-mail: info@pix-evi.com tel: +31 (0) 6 207 917 55 www.pix-evi.nl - 11 -