Menu Cookiestoestemming Begin hier

Voorbeelden toestemming AVG

Laatst bijgewerkt op 01 July 2022 door PrivacyPolicies.com Legal Writing Team
Voorbeelden toestemming AVG

Onlangs hebben er vrij veel activiteiten plaatsgevonden gericht op het verkrijgen van toestemming. Websites zijn "cookiebanners" gaan vertonen. Bedrijven hebben e-mails verstuurd waarin ze gebruikers vragen of ze nog op de mailinglist willen staan. En zo kunnen we nog wel even doorgaan.

Dit komt allemaal door de Algemene Verordening Gegevensbescherming (AVG) van de EU, een privacywet die een hogere norm voor toestemming bepaalt dan veel bedrijven gewend zijn. Krachtens de AVG betekent toestemming ook echt toestemming. Bepaalde methodes die voorheen zijn gebruikt om toestemming te verkrijgen, gelden niet langer.

Laten we eens kijken hoe jouw bedrijf ervoor kan zorgen dat het op de juiste wijze en voor de juiste zaken toestemming krijgt.


Wat is de AVG?

Wat is de AVG?

De AVG is bijna zeker de strengste privacywet ter wereld. Maar strikte privacy- en gegevensbeschermingswetten in de EU zijn niets nieuws. De Richtlijn inzake de bescherming van persoonsgegevens, een oudere privacywet die door de AVG wordt vervangen, en de ePrivacy-richtlijn, die ook wel de "cookiewet" wordt genoemd boden mensen in de EU al een grote mate van privacybescherming.

De AVG heeft met name een belangrijk effect gehad, deels omdat hij ook op bedrijven buiten de EU van toepassing is.

Wie moet aan de AVG voldoen?

De AVG is van toepassing op jouw bedrijf ongeacht of je in de EU gevestigd bent, zo lang als je:

  • goederen en diensten aanbiedt aan personen in de EU. Dit staat los van het feit of je winst wilt maken.
  • het gedrag controleert van personen in de EU. Dit kan betekenen het "profileren" van personen - proberen te voorspellen hoe ze zouden kunnen handelen op basis van observaties van hun gedrag in het verleden. Dit komt in feite zeer veel voor, want het is wat veel reclamecookies doen.

Wat dekt de AVG?

Telkens wanneer jouw bedrijf persoonsgegevens verwerkt, moet het aan de AVG voldoen. Bedrijven verwerken elke dag persoonsgegevens.

"Persoonsgegevens" zijn gegevens die kunnen worden gebruikt om een persoon te identificeren. Als je je afvraagt of iets onder persoonsgegevens valt, kun je er vanuit gaan dat dat waarschijnlijk het geval is.

Zo heeft de hoogste rechtbank in de EU bepaald dat, bijvoorbeeld, dynamische IP-adressen persoonsgegevens vormen. De reden is dat een dynamisch IP-adres theoretisch gecombineerd kan worden met andere informatie om een persoon te identificeren. Dit geldt ook voor bepaalde cookies.

"Verwerking" van persoonsgegevens betekent dat je er iets mee doet. Ook hier geldt, dat als je twijfelt of iets als verwerking kan worden beschouwd, de kans groot is dat dit het geval is.

Nog los van vanzelfsprekende zaken zoals het vastleggen van betaalgegevens of het samenstellen van een mailinglist, kan een actie zoals het opslaan van het IP-adres van een persoon in de logboekbestanden van je webserver, ook "verwerking van persoonsgegevens" vormen.

Hoe toestemming krachtens de AVG anders is

Hoe toestemming krachtens de AVG anders is

De meeste privacywetten kennen twee soorten toestemming: impliciet en expliciet.

Deze kunnen verschillende namen hebben. Zo wordt in het commerciële e-mailrecht van de Australische Spam Act 2003 impliciete toestemming "afgeleide toestemming" genoemd. En in de Verenigde Staten, noemt de CAN-SPAM privacywet expliciete toestemming "affirmatieve toestemming."

Hoewel de meeste privacywetten beiden soorten toestemming kennen, bestaat impliciete toestemming niet in de AVG. Het is krachtens de AVG veel moeilijker om aan te tonen dat je toestemming van een klant hebt dan krachtens andere privacywetten.

Impliciete toestemming

In essentie betekent "impliciete toestemming" dat je reden hebt om aan te nemen dat een persoon zijn toestemming zou geven als hij of zij erom zou worden gevraagd.

Impliciete toestemming kan mogelijk bestaan in een relatie tussen een klant en een bedrijf. Als iemand regelmatig producten van een bedrijf koopt, kan dit bedrijf redelijkerwijs geloven dat die persoon erin heeft toegestemd om marketingmails van hen te ontvangen. Het bedrijf moet de klant echter bijna altijd een mogelijkheid bieden om dergelijke communicatie te "weigeren" via een afmeldmiddel.

Bijvoorbeeld in de Anti-Spam Law (CASL) van Canada, een Canadese privacywet, bestaat impliciete toestemming automatisch onder bepaalde omstandigheden. De Canadese overheid legt dit uit op haar website:

Veelgestelde vragen betreffende de CASL van de Canadese overheid: Wat is impliciete toestemming

Expliciete toestemming

Expliciete toestemming is wat "toestemming" betekent krachtens de AVG. Je vraagt personen om toestemming, zij begrijpen de vraag en de implicaties en maken een echte keuze.

De spamwet in de Unsolicited Electronic Messages Act 2007 van Nieuw-Zeeland erkent zowel expliciete als impliciete toestemming. Dit is hoe het Ministerie van Interne Zaken van Nieuw-Zeeland expliciete toestemming om commerciële e-mails te sturen kenmerkt:

Ministerie van Interne Zaken van Nieuw-Zeeland: Voorbeelden van expliciete toestemming

Vijf elementen van toestemming krachtens de AVG

Artikel 4 van de AVG definieert toestemming als "elke vrije, specifieke, geïnformeerde en ondubbelzinnige ... ondubbelzinnige actieve handeling" waarmee een persoon toestemming geeft voor de verwerking van hun persoonsgegevens op een bepaalde manier.

We kunnen dat in vijf elementen opsplitsen:

  1. Vrij - de persoon mag niet onder druk worden gezet om toestemming te geven of nadelige gevolgen ondervinden als hij of zij weigert.
  2. Specifiek - de persoon moet worden gevraagd om toestemming te geven voor individuele soorten gegevensverwerking.
  3. Geïnformeerd - de persoon moet worden verteld waar hij of zij toestemming voor geeft.
  4. Ondubbelzinnig - taal moet helder en eenvoudig zijn.
  5. Ondubbelzinnige actieve handeling - de persoon moet uitdrukkelijk toestemming geven door iets te doen of zeggen.

Als je een van deze vijf elementen mist, heb je geen toestemming krachtens de AVG.

Wanneer is toestemming vereist?

Een van de mythen die over de AVG de ronde doen is dat de AVG toestemming vereist voor elke soort gegevensverwerking. Dit is niet juist.

De AVG is slechts één van de zes rechtsgrondslagen voor het verwerken van persoonsgegevens die de AVG bepaalt. Ze worden samengevat door de Information Commissioner's Office (de Britse gegevensbeschermingsautoriteit):

De lijst van de ICO met rechtsgrondslagen voor verwerking

Over het algemeen gesproken, hoef je niet om toestemming te vragen als:

  • je een kerndienst uitvoert (gebruik in plaats daarvan een contract).
  • je bij wet vereist bent om persoonsgegevens te verwerken (wettelijke verplichting).
  • je persoonsgegevens verwerkt ten behoeve van je bedrijf of anderen op een manier die je gebruikers redelijkerwijs zouden verwachten, met minimaal risico voor en invloed op individuen (gerechtvaardigde belangen).

Je moet om toestemming vragen als je een daadwerkelijke keus aanbiedt voor een niet-essentiële dienst. Typische voorbeelden zijn:

  • Het gebruik van tracking-/reclamecookies
  • Het verzenden van marketingmails of nieuwsbrieven
  • Het delen van persoonsgegevens met andere bedrijven voor commerciële doeleinden

Hoe krijg je toestemming krachtens de AVG

Hoe krijg je toestemming krachtens de AVG

Je moet de vijf elementen van toestemming implementeren telkens als je om toestemming van je gebruikers vraagt.

Toestemming voor cookies

Sinds de invoering van de AVG, zijn er veel cookiebanners verschenen. Vele daarvan zouden prima zijn krachtens een systeem dat "impliciete" toestemming toestaan, maar onthoud - de AVG erkent alleen expliciete toestemming.

Here's how you can use our Cookie Consent to implement a cookie management solution for your website.

  1. Start building your Cookie Consent by choosing your compliance preference on step 1:

    2. PrivacyPolicies.com: Cookies Consent - Choose your compliance preference - Step 1

  2. On step 2 customize your Cookie Consent - choose banner type and pick color palette:

    3. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  3. Continue with customizing your Cookie Consent widget to best fit your website.

    4. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  4. You can also group your JavaScript automatically using our builder page on step 3. Pass all your JavaScript through here so that we can include the necessary cookie consent level:

    5. PrivacyPolicies.com: Cookies Consent - Add your JavaScript scripts - Step 3

  5. And you're done! Now just copy your Cookie Consent code and append it to your website page before the closing of the </body> tag.

    PrivacyPolicies.com: Cookies Consent - Copy your Cookie Consent code - Step 4

    For more info you can check Cookie Consent levels that are available in Cookie Consent.

En dan zijn er cookiebanners die bijna om toestemming vragen, maar toch tekort komen zoals dit voorbeeld van het Southbank Centre:

Cookievermelding Southbank Centre

In dit voorbeeld wordt niet eens om toestemming gevraagd en cookies worden standaard geplaatst. Gebruikers worden doorverwezen naar meer informatie, die hun vertelt hoe ze cookies kunnen weigeren.

Maar onthoud de vijf elementen. Met deze aanpak wordt toestemming niet vrij gegeven. En het is ook niet ondubbelzinnig, of verstrekt via een ondubbelzinnige actieve handeling.

Een beter voorbeeld is deze cookievermelding van de Europese Centrale Bank:

Cookievermelding Europese Centrale Bank

Alle vijf elementen zijn aanwezig. Toestemming:

  1. wordt vrij gegeven - er is nadruk op "accepteren" of "niet accepteren".
  2. is geïnformeerd - de gebruiker wordt de reden verteld voor de verwerking en uitgenodigd meer informatie te lezen.
  3. is ondubbelzinnig - de taal is helder en gemakkelijk te begrijpen.
  4. is specifiek - de gebruiker wordt alleen uitgenodigd om toestemming te geven voor één soort gegevensverwerking.
  5. wordt verkregen via een ondubbelzinnige, actieve handeling - de gebruiker moet "Ik begrijp en ik accepteer" aanklikken.

Merk op dat een extra selectievakje "Akkoord" niet vereist is. Eén klik is genoeg voor één toestemmingsverzoek.

Het is een vrij eenvoudig geval, aangezien de website van de Europese Centrale Bank alleen zeer basale cookies gebruikt. Hieronder volgt een voorbeeld van Experian hoe je specifieke toestemming voor verschillende soorten cookies kunt vragen:

Instellingsscherm Experian Privacyvoorkeurscentrum

Je moet je gebruikers op de hoogte stellen van het gebruik van cookies in je privacybeleid (of je cookiebeleid). Dit is hoe Makermet de verschillende soorten cookies die het gebruikt uitlegt:

Cookiebeleid Makermet: diagram met naam en doel cookies

Onthoud dat toestemming niet alleen gaat over wat je zegt, maar ook wat je doet. Stuur geen reclamecookies tenzij jouw gebruikers daarvoor toestemming hebben gegeven.

Toestemming voor het sturen van marketingmateriaal

De AVG moet het eind betekenen van het vooraf aangevinkte vakje, een tactiek die jarenlang door bedrijven is gebruik in de hoop dat met een trucje abonnees zich onbedoeld voor hun mailinglist zouden opgeven.

Het lijkt misschien dat er slechts een vrij klein verschil bestaat tussen iemand vragen om een vinkje in een vakje te plaatsen en iemand te vragen om een vinkje uit een vakje te verwijderen. Echter, "verzuim om een vinkje uit een vakje te verwijderen" is niet in overeenstemming met een van de vijf elementen krachtens de AVG. Dit kan daarom niet worden gebruikt om aan te tonen dat je de goedkeuring van een persoon hebt.

Je kunt gemakkelijk de vijf elementen van toestemming volgens de AVG implementeren als je mensen vraag om zich voor je mailinglist op te geven. Dit is een voorbeeld van Dynastar:

Aanmeldingsformulier e-mailnieuwsbrief Dynastar

Hoe verhoudt zich dit met de vijf elementen?

  1. Vrij gegeven - gebruikers hebben een duidelijke keus of ze hun e-mailadres willen geven.
  2. Geïnformeerd - gebruikers wordt de reden verteld voor de verwerking, hoewel het woord "marketing" in de kleine lettertjes staat. Gebruikers worden uitgenodigd om het privacybeleid van Dynastar te lezen.
  3. Ondubbelzinnig - de taal is helder en gemakkelijk te begrijpen.
  4. Specifiek - het zou helderder kunnen zijn dat de nieuwsbrief een vorm van marketing is, maar dat is een klein punt.
  5. Verkregen via een ondubbelzinnige, actieve handeling - het invoeren van hun e-mailadres en het klikken op "aanmelden voor nieuwsbrief" vormen een ondubbelzinnige, actieve handeling.

Dit is een redelijk goed voorbeeld van een aanmeldingsmechanisme voor een mailinglist.

Hier volgt een ander voorbeeld van Cooper Vision: Ten eerste wordt gebruikers precies verteld waar ze zich voor aanmelden:

Disclaimer aanmeldingsformulier voor marketingupdates Cooper Vision

Daarna wordt gebruikers keuzes geboden over hoe zij de informatie willen ontvangen:

Aanmeldingsformulier marketingmails met opties Cooper Vision

Het verzoek om toestemming van Cooper Vision voldoet gemakkelijk aan de eisen van de AVG.

Vaak wordt toestemming voor het sturen van marketingmateriaal verkregen als gebruikers zich aanmelden voor andere diensten of op een andere manier contact met jouw bedrijf hebben. Dit is een voorbeeld van Protect Your Gadget: Op dit moment, staat de gebruiker op het punt zich aan te melden voor het ontvangen van een offerte voor een verzekering:

E-mailaanmeldingsformulier Protect Your Gadget

Zo lang het duidelijk is dat dit een aparte optie is en het standaardantwoord "nee" is, is er geen probleem. Een probleem doet zich voor als gebruikers zich aanmelden voor marketingmateriaal zonder dat ze zich dit realiseren of dit actief hebben gedaan.

Wat dat betreft is het ook een goede methode om een "dubbele aanmelding" in te voeren, waarmee gebruikers worden gevraagd hun aanmelding te bevestigen via een validatiemail. Dit is een voorbeeld van Textbroker:

E-mail om de aanmelding voor een nieuwsbrief te bevestigen van Textbroker

Toestemming voor marketing van derde partijen

Er zijn twee manieren waarop je je gebruikers in contact met marketing van andere bedrijven kunt brengen. Je kunt hen wellicht marketingmateriaal van derden rechtstreeks toezenden, of hun contactgegevens met andere bedrijven delen.

Geen van beide is verboden krachtens de AVG. Maar zoals bij alle aspecten van gegevensverwerking, moet je duidelijk en transparant zijn. Je moet bijna altijd toestemming vragen voor deze doeleinden.

Je mag je toestemmingsverzoek voor het delen van persoonsgegevens niet met andere toestemmingsverzoeken bundelen. Bekijk dit toestemmingsverzoek van Escapio:

Aanmeldingsformulier e-mailnieuwsbrief Escapio

Gebruikers wordt verteld dat ze zich aanmelden voor "onze Escapio's tips en aanbiedingen". Maar als je door de pagina naar beneden scrolt, wordt meer duidelijk:

Informatie over wat de e-mailnieuwsbrief van Escapio omvat

Gebruikers ontvangen marketinginformatie, hotelaanbevelingen en competities van derden - meer dus dan alleen maar "tips en aanbiedingen" van Escapio. Toestemming voor al deze zaken is in één verzoek gebundeld. Dit lijkt niet te voldoen aan de eis dat toestemming "specifiek" is.

Dit is een voorbeeld van een ongebundeld toestemmingsverzoek van Steam Railway:

Selectievakjes van het aanmeldingsformulier voor e-mails van Steam Railway

Dit zijn drie verschillende doelen waarvoor het e-mailadres van de gebruiker wordt gebruikt. Daarom is het gepast om op drie verschillende manieren met drie verschillende selectievakjes om toestemming te vragen.

Dit is een ander voorbeeld van ongebundelde toestemmingsverzoeken van Alfa Romeo:

Formulier van Alfa Romeo voor toestemming voor marketing, profilering en communicatie van derden

Dit is een goed voorbeeld van toestemming die vrij gegeven, geïnformeerd, specifiek, ondubbelzinnig is, en via een ondubbelzinnige actieve handeling wordt verstrekt.

Het zesde element van toestemming - gemakkelijk intrekken

De AVG schrijft een zesde element voor: toestemming moet gemakkelijk in te trekken zijn.

Natuurlijk moet je een afmeldingsvoorziening in je marketingmails opnemen. Dit is hoe Hermes dat doet:

E-mail Hermes met afmeldingsoptie

Andere middelen om toestemming in te trekken, moeten duidelijk worden uitgelegd in jouw privacybeleid. Dit is hoe Bauer Publishing dat doet:

Privacybeleid Bauer Publishing: Toestemmingsclausule

Cookies kunnen vaak worden beheerd via een "cookiemanager" Dit is een voorbeeld van Onedox:

Screenshot van cookiemanagertool Onedox

Merk op dat veel van deze instellingen standaard op "uit" moeten staan.

Toestemming op een mobiele app

De beginselen voor het verkrijgen van toestemming zijn dezelfde voor mobiele apps als voor enig ander medium.

Dit is een voorbeeld van een toestemmingsverzoek van de mobiele app van Swiftkey:

Android app installatiescherm Swiftkey met instemming met dienstenvoorwaarden en privacybeleid gemarkeerd

Swiftkey beweert toestemming te verkrijgen als de gebruiker de app installeert. De installatie van de app is vermoedelijk niet ondubbelzinnig of een ondubbelzinnige, actieve handeling die noodzakelijkerwijs toestemming toont.

Dit hoeft geen probleem te zijn, als de app geen informatie zou verzamelen die wordt gebruikt voor gerichte reclame (waar specifieke toestemming voor nodig is). Een kijkje in de privacyverklaring van Swiftkey (uitgevoerd door Microsoft), geeft aan dat idealiter specifieke toestemming moet worden gevraagd, omdat de verzamelde informatie wordt gebruikt voor gerichte reclame.

Privacyverklaring Microsoft: Clausule Hoe we persoonsgegevens gebruiken, met de paragrafen over reclame en marketing gemarkeerd

Het komt veel voor op mobiele apps dat informatie zoals locatiegegevens mogelijk voor niet-essentiële diensten worden verzameld. Je moet je gebruikers hier enige controle over geven. Dit is een goed voorbeeld van geïnformeerde toestemming van Google:

Scherm toestemmingsverzoek van Google Drive Android app

Samenvatting - Toestemming verkrijgen krachtens de AVG

Toestemming die betekenisvol is krachtens de AVG, moet het volgende zijn:

  • Vrij gegeven - probeer je gebruikers niet met een 'trucje' toestemming te ontfutselen. Onthoud ze geen andere diensten als ze ervoor kiezen geen toestemming te geven.
  • Specifiek - als je de toestemming van een persoon voor meerdere doeleinden wilt verwerken, moet je voor elke soort verwerking toestemming vragen.
  • Geïnformeerd - geef duidelijke informatie over waarvoor de toestemming van gebruikers wordt gevraagd en wat ze moeten doen als ze van gedachten veranderen.
  • Ondubbelzinnig - gebruik heldere en eenvoudige taal en geef een duidelijke keuze.
  • Gegeven via een ondubbelzinnige, actieve handeling - neem nooit aan dat je de toestemming van gebruikers hebt totdat ze actief met iets hebben ingestemd.

En tot slot, zodra je de toestemming van gebruikers hebt, moet je het gemakkelijk voor hen maken om die toestemming in te trekken.

PrivacyPolicies.com Legal Writing Team

Laatst bijgewerkt op 01 July 2022

Juridische informatie, juridische sjablonen en juridisch beleid zijn geen juridisch advies.. Lees de disclaimer.

Begin hier

Gerelateerde artikelen

Voorbeeld-template cookiebeleid

Voorbeeld-template cookiebeleid

Als jouw bedrijf cookies of andere soorten bestanden voor het verzamelen of opslaan van gebruikersinformatie gebruikt, is het absoluut noodzakelijk dat je een cookiebeleid op jouw website opneemt. Cookies zijn...

Privacybeleid is wettelijk vereist

Privacybeleid is wettelijk vereist

Privacywetgeving overal ter wereld schrijft voor dat als je persoonsgegevens van de bezoekers aan je website verzamelt, je een privacybeleid op je website moet publiceren en beschikbaar moet hebben in...

Privacybeleid volgens de AVG

Privacybeleid volgens de AVG

De Algemene Verordening Gegevensbescherming (AVG) is wetgeving van de EU die erop is gericht om EU-burgers meer controle over hun gegevens te geven. Krachtens deze verordening, moeten organisaties die gegevens...