GDPR Artikel 7 gaat over de ‘voorwaarden voor toestemming’ waaraan moet worden voldaan om vast te stellen dat een organisatie de vereiste toestemming heeft verkregen voordat zij de gegevens van een individu mag verwerken.
Voorwaarden voor toestemming
- Wanneer de verwerking gebaseerd is op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
- Indien de toestemming van de betrokkene wordt gegeven in de context van een schriftelijke verklaring die ook andere zaken betreft, wordt het verzoek om toestemming gepresenteerd op een manier die duidelijk te onderscheiden is van de andere zaken, in een begrijpelijke en gemakkelijk toegankelijke vorm, met gebruikmaking van duidelijke en duidelijke taal. Elk deel van een dergelijke verklaring dat een inbreuk op deze verordening vormt, is niet bindend.
- De betrokkene heeft het recht om zijn of haar toestemming op elk moment in te trekken. Het intrekken van de toestemming heeft geen invloed op de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking ervan. Voordat toestemming wordt gegeven, wordt de betrokkene hiervan op de hoogte gesteld. Het intrekken van de toestemming zal net zo gemakkelijk zijn als het geven van toestemming.
- Bij de beoordeling of toestemming uit vrije wil wordt gegeven, wordt zoveel mogelijk rekening gehouden met de vraag of, onder meer, de uitvoering van een overeenkomst, met inbegrip van de levering van een dienst, afhankelijk is van toestemming voor de verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van dat contract.
Voorwaarden voor toestemming
- Wanneer de verwerking gebaseerd is op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
- Indien de toestemming van de betrokkene wordt gegeven in de context van een schriftelijke verklaring die ook andere zaken betreft, wordt het verzoek om toestemming gepresenteerd op een manier die duidelijk te onderscheiden is van de andere zaken, in een begrijpelijke en gemakkelijk toegankelijke vorm, met gebruikmaking van duidelijke en duidelijke taal. Elk deel van een dergelijke verklaring dat een inbreuk op deze verordening vormt, is niet bindend.
- De betrokkene heeft het recht om zijn of haar toestemming op elk moment in te trekken. Het intrekken van de toestemming heeft geen invloed op de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking ervan. Voordat toestemming wordt gegeven, wordt de betrokkene hiervan op de hoogte gesteld. Het intrekken van de toestemming zal net zo gemakkelijk zijn als het geven van toestemming.
- Bij de beoordeling of toestemming uit vrije wil wordt gegeven, wordt zoveel mogelijk rekening gehouden met de vraag of, onder meer, de uitvoering van een overeenkomst, met inbegrip van de levering van een dienst, afhankelijk is van toestemming voor de verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van dat contract.
Toestemming wordt behandeld in artikel 7 van de AVG op drie belangrijke gebieden:
Organisaties moeten toestemming verzamelen op een manier die het voor PII-onderwerpen gemakkelijk maakt om informatie op te vragen over de manier waarop deze is verkregen (tijdstempels, wie deze heeft aangevraagd, enz.) (zie ISO 27701-clausule 7.3.3).
Toestemming is afhankelijk van drie onderliggende wettelijke bepalingen: de toestemming moet vrijelijk worden verstrekt, betrekking hebben op de reden voor de verwerking en moet duidelijk zijn in de bedoeling ervan.
Organisaties moeten een mechanisme bieden dat de rechten schetst van elke PII-opdrachtgever die zijn toestemming wil intrekken, samen met instructies over hoe dit te doen die in lijn zijn met de methoden die worden gebruikt om PII te verzamelen (bijvoorbeeld e-mail, telefoon).
PII-opdrachtgevers moeten ook de toestemming kunnen 'wijzigen', dat wil zeggen de verwerkingsverantwoordelijke beperken in het uitvoeren van bepaalde acties, zoals het verwijderen van PII. Dergelijke verzoeken moeten worden gedocumenteerd in overeenstemming met de procedures voor het intrekken van toestemming.
Organisaties moeten zich verbinden tot een gepubliceerde responstijd voor alle wijzigingen of intrekkingen van toestemmingsverzoeken.
Organisaties moeten toestemming verkrijgen van het PII-principe voordat ze gegevens gebruiken die zijn verstrekt voor marketing- of reclamedoeleinden, en ervoor zorgen dat acceptatie van dergelijk gebruik geen voorwaarde is voor de verwerking van PII.
Marketing- en reclamebepalingen moeten duidelijk worden gedocumenteerd in alle contracten of serviceovereenkomsten, in overeenstemming met het bovengenoemde doel.
Organisaties moeten streven naar 'uitdrukkelijke toestemming' die is gebaseerd op een transparante en actuele weergave van hoe PII moet worden gebruikt.
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikel 7 (1) en 7 (2) | ISO 27701 7.2.4 | Geen |
| EU AVG Artikel 7 (3) | ISO 27701 7.3.4 | Geen |
| EU AVG Artikel 7 (4) | ISO 27701 8.2.3 | Geen |
Het ISMS.online-platform bevat ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat het aantonen van uw AVG-compliance aanzienlijk eenvoudiger is. U profiteert ook van een reeks krachtige tijdbesparende functies.
Met behulp van ons intuïtieve platform kunt u uw werk over meerdere standaarden en raamwerken heen in kaart brengen, zodat u in een minimum van tijd meerdere informatiebeveiligings- en privacydoelen kunt bereiken.
Als u op enig moment in uw reis naar de AVG, om welke reden dan ook, een gebrek aan vertrouwen, vermogen of motivatie voelt om actie te ondernemen, kunnen we ons team van interne experts voor u beschikbaar stellen of een van onze vertrouwde partners aanbevelen om u te helpen u bij het bereiken van uw doelen.
Meer informatie via het boeken van een korte demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
