1. Er is niet overal toestemming voor nodig
Laten we eenvoudig beginnen: je hoeft niet altijd toestemming te vragen. Voor de verwerking van persoonsgegevens is er weliswaar altijd een ‘rechtmatige grondslag’ nodig, maar dat kan bij marketing ook het geval zijn als een verwerking noodzakelijk is voor je (verkoop)overeenkomst of bij een gerechtvaardigd marketingbelang van jouw organisatie. Sommige gegevens van jouw klanten of prospects kun je dus verwerken zonder toestemming. Heb je geen overeenkomst of is het gerechtvaardigd belang niet van toepassing, dan moet je dus toestemming vragen.
2. Toestemming moet actief gegeven worden
Maar wat is ‘toestemming’ precies? Het belangrijkste is dat mensen weten waar ze mee akkoord gaan en wat ze kunnen verwachten. Onder de AVG moet er daarom door een verklaring of actieve handeling toestemming worden gegeven. Een vooraf aangeklikt vakje valt hier dus niet onder, de gebruiker moet het echt zelf doen. Toestemming vragen in het privacy statement of de algemene voorwaarden is ook niet voldoende. De toestemming is dan niet ondubbelzinnig gegeven.
3. Soft opt-in bij bestaande klantrelatie voor e-mail
Bij bestaande klantrelaties geldt momenteel al de soft opt-in voor het versturen van charitatieve, ideële en commerciële e-mails. In de praktijk betekent dit dat je e-mails zonder opt-in kan versturen, zolang er bij het ontstaan van de klantrelatie (bijvoorbeeld een webformulier) gecommuniceerd wordt dat het e-mailadres gebruikt wordt voor het versturen van een nieuwsbrief en bij het ontstaan van de klantrelatie een opt-out wordt gegeven.
In de praktijk lijkt dit heel veel op de normale opt-in, maar wettelijk gezien is er een verschil. Met de invoering van de AVG komt hier geen verandering in, omdat deze klantrelatie onder de Telecommunicatiewet is geregeld. Eventuele veranderingen hangen samen met invoer van de E-Privacy Verordening, die momenteel nog in ontwikkeling is. Naar verwachting is daar snel meer duidelijkheid over.
Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.
4. Toestemming met terugwerkende kracht
De AVG geldt niet met terugwerkende kracht, dus alles wat je voor 25 mei 2018 doet valt onder de oude regels. Daarna moet je echter aan de nieuwe regels voldoen: het kan dus best dat je eerder toestemming hebt verkregen, maar controleer wel goed of deze toestemming voldoet aan de nieuwe regels. Zo niet, dan mag je de gegevens niet langer verwerken.
5. Toestemming met andere doeleinde
Voldoet je bestaande toestemming aan de voorwaarden van de AVG? Mooi zo. Zorg alleen wel dat je precies weet waar je precies toestemming voor hebt gekregen. Wie persoonsgegevens voor een ander doeleinde wil gebruiken dan datgene waar toestemming voor is gegeven, zal daar opnieuw toestemming voor moeten vragen. Dit is niet anders dan nu, maar wel een heel belangrijk punt. Wanneer iets dan precies een ‘ander doeleinde’ is, is niet altijd duidelijk.
6. Bewijs dat je toestemming hebt gekregen
Onder de AVG moet je kunnen aantonen dat je toestemming hebt gekregen. Daarvoor moet je in ieder geval de volgende gegevens kunnen aantonen:
- Dat de betreffende persoon toestemming heeft gegeven
- Wanneer er toestemming is gegeven
- Aan wie er toestemming is gegeven (organisatie of bedrijf)
- Waarvoor er toestemming is gegeven
- De manier waarop er toestemming is gegeven (vinkje, tekst)
Heb je de toestemming, de administratie en de bewijslast vanaf 25 mei 2018 niet goed geregeld? Dan loop je zoals bekend het risico op een boete.
Wil je weten hoe jouw organisatie ook op andere thema’s dan toestemming is voorbereid op de AVG? Doe dan de DDMA AVG Status Check. Naast advies over vijf thema’s, kun je jouw organisatie ook benchmarken ten opzichte van de sector.
Lees hier: