Handje Wiki - Gebruikersbijdragen [nl]

AVG-grondslagen

2023-07-21T14:07:59Z

Editor 5: link naar verantwoordingsplicht

== in het kort ==
Het verwerken van persoonsgegevens brengt een inbreuk in de privacy rechten met zich mee. Om die reden mag de verwerking van persoonsgegevens alleen als er geldige grondslag is.

De AVG geeft 6 mogelijke grondslagen:

# U heeft [[toestemming]] van de persoon om wie het gaat.
# Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
# Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
# Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
# Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
# Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang van de organisatie te behartigen.

== Waar leg je dit vast? ==
Als er een rechtsgeldige grondslag is voor de specifieke gegevensverwerking, moet dit vastgelegd worden. Dit kan een organisatie op meerdere manieren doen:

* In de privacyverklaring. De privacyverklaring is vrij toegankelijk op de website of onderdeel van een overeenkomst. Op die manier weten (potentiële) klanten welke gegevens de organisatie verwerkt en waarom. De organisatie moet transparant zijn over welke grondslag zij gebruiken om te voldoen aan de informatieplicht uit de AVG.
* In het privacybeleid (niet iedere organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan de [[verantwoordingsplicht]] uit de AVG te voldoen.
* Neem de grondslag ook op in het verwerkingsregister. Het bijhouden van een verwerkingsregister is ook een onderdeel van de [[verantwoordingsplicht]].

Verantwoordingsplicht

2023-07-21T14:02:37Z

Editor 5: Pagina verantwoordingsplicht aangemaakt

De verwerkingsverantwoordelijke moet de AVG-beginselen naleven. De verantwoordelijke moet dit kunnen aantonen, dit heet de verantwoordingsplicht (artikel 5 lid 2 AVG). Als de verwerkingsverantwoordelijke niet aan de verantwoordingsplicht voldoet, riskeert deze een boete van de Autoriteit Persoonsgegevens (AP).

De verantwoordelijke heeft een informatieplicht tegenover betrokkenen waarvan zij persoonsgegevens verwerker. Ook moet de verantwoordelijke zorgen voor rechtmatige, behoorlijke en transparante gegevensverwerking.

De AVG geeft ook enkele algemene verplichtingen voor verwerkingsverantwoordelijken:

* Het hebben van passende technische en organisatorische maatregelen;
* Het naleven van beveiligingsmaatregelen;
* Het bijhouden van een verwerkingsregister;
* Aanstellen van een Functionaris voor gegevensbescherming (FG);
* [[Meldplicht datalekken]] opvolgen;
* [[DPIA]] (Gegevensbeschermingseffectbeoordeling) uitvoeren;
* [[Verwerkersovereenkomst]] sluiten.

Verantwoordingsplicht

2023-07-21T13:57:21Z

Editor 5: verantwoordingsplicht pagina aangemaakt

Verantwoordingsplicht

De verwerkingsverantwoordelijke moet de AVG-beginselen naleven. De verantwoordelijke moet dit kunnen aantonen, dit heet de verantwoordingsplicht (artikel 5 lid 2 AVG). Als de verwerkingsverantwoordelijke niet aan de verantwoordingsplicht voldoet, riskeert deze een boete van de Autoriteit Persoonsgegevens (AP).

De verantwoordelijke heeft een informatieplicht tegenover betrokkenen waarvan zij persoonsgegevens verwerker. Ook moet de verantwoordelijke zorgen voor rechtmatige, behoorlijke en transparante gegevensverwerking. De AVG geeft ook enkele algemene verplichtingen voor verwerkingsverantwoordelijken:
• Passende technische en organisatorische maatregelen
• Beveiligingsmaatregelen
• Register van verwerkingen
• Functionaris voor gegevensbescherming (FG)
• Meldplicht datalekken
• DPIA - Gegevensbeschermingseffectbeoordeling
• Verwerkersovereenkomst

Verwerkersovereenkomst

2023-07-21T13:27:30Z

Editor 5: verwerkersovereenkomst pagina aangemaakt

Een organisatie die persoonsgegevens verwerkt, kan deze verwerking uitbesteden. De organisatie die het doel en de middelen van de verwerking bepaalt is de verwerkingsverantwoordelijke. De organisatie die de daadwerkelijke verwerking uitvoert heet de verwerker. Denk hierbij bijvoorbeeld aan een softwareleverancier of externe boekhouder. Afspraken tussen de verwerkingsverantwoordelijke en de verwerker moet je vastleggen in een verwerkersovereenkomst.

In de verwerkersovereenkomst moeten afspraken staan die garanderen dat er zorgvuldig omgegaan wordt met de persoonsgegevens. Ook staan de verdeling van de taken en plichten vermeld in de overeenkomst. De verwerker moet garanderen dat hij de juiste passende technische en organisatorische maatregelen in acht neemt bij de verwerkering (artikel 28 lid 1 AVG). De verwerkingsverantwoordelijke blijft verantwoordelijk.

In de verwerkersovereenkomst moet in ieder geval het volgende staan (artikel 28 lid 3 en aanhef AVG):

* het onderwerp en de duur van de verwerking
* de aard en het doel van de verwerking
* het soort persoonsgegevens en de categorieën van betrokkenen
* de rechten en verplichtingen van de verwerkingsverantwoordelijke

Andere onderdelen die in de overeenkomst bepaald moeten zijn, staan beschreven in artikel 28 lid 3 onderdelen a t/m h AVG.

DPIA

2023-07-21T10:22:53Z

Editor 5: DPIA pagina aangemaakt

== In het kort ==
DPIA staat voor Data protection impact assessment. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd. Wanneer een organisatie persoonsgegevens gaat verwerken en zij beoordelen dat hierbij een hoog privacy risico ontstaat, moet een DPIA worden uitgevoerd.

== Waarom een DPIA uitvoeren? ==
De DPIA is een instrument waarbij de organisatie inzicht verkrijgt in de privacy risico’s die een gegevensverwerking met zich mee brengt. De DPIA wordt dus uitgevoerd, voordat de gegevensverwerking plaatsvindt. Uit de DPIA volgen de maatregelen die een organisatie moet treffen om de ingeschatte risico’s te verkleinen. Het uitvoeren van DPIA’s valt onder de verantwoordingsplicht.

== Wanneer een DPIA uitvoeren? ==
Een organisatie moet zelf de inschatting maken óf een DPIA uitgevoerd moet worden. Hierin is leidend of er een hoog privacyrisico ontstaat bij de gegevensverwerking. De Europese privacytoezichthouders hebben een handreiking opgesteld voor de gevallen waarin in ieder geval een DPIA uitgevoerd moet worden.

Uitgangspunt hierbij is dat een DPIA moet worden uitgevoerd als de verwerking aan 2 of meer van de onderstaande criteria voldoet:

# Beoordelen van mensen op basis van persoonskenmerken
# Geautomatiseerde besluiten
# Stelselmatige en grootschalige monitoring
# Gevoelige gegevens (bijvoorbeeld bijzondere persoonsgegevens, zoals strafrechtelijke gegevens)
# Grootschalige gegevensverwerkingen
# Gekoppelde databases
# Gegevens over kwetsbare personen
# Gebruik van nieuwe technologieën
# Blokkering van een recht, dienst of contract

==== DPIA in de ontwerpfase ====
De AVG gaat uit van het privacy by design en privacy by default principe. Om aan deze principes te voldoen, is het van belang dat een DPIA al in de ontwerpfase van de gegevensverwerking wordt uitgevoerd. Zo voorkomt de organisatie dat er onrechtmatig te grote privacy risico’s worden genomen. Het uitvoeren van een DPIA is geen eenmalige taak, maar een continu proces. Verandert er iets in het proces van gegevensverwerking, moet er een nieuwe DPIA uitgevoerd worden.
Als de organisatie een Functionaris Gegevensbescherming (FG) heeft aangesteld, is het verplicht om bij deze advies in te winnen met betrekking tot de DPIA. De FG houdt intern toezicht op de gegevensverwerkingen en naleving van de AVG.

DPIA

2023-07-20T15:22:54Z

Editor 5: DPIA pagina aangemaakt

== In het kort ==
DPIA staat voor Data protection impact assessment. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd. Wanneer een organisatie persoonsgegevens gaat verwerken en zij beoordelen dat hierbij een hoog privacy risico ontstaat moet een DPIA worden uitgevoerd.

== Waarom een DPIA uitvoeren? ==
De DPIA is een instrument waarbij de organisatie inzicht verkrijgt in de privacy risico’s die een gegevensverwerking met zich mee brengt. De DPIA wordt dus uitgevoerd, voordat de gegevensverwerking plaatsvindt. Uit de DPIA volgen de maatregelen die een organisatie moet treffen om de ingeschatte risico’s te verkleinen. Het uitvoeren van DPIA’s valt onder de verantwoordingsplicht.

== Wanneer een DPIA uitvoeren? ==
Een organisatie moet zelf de inschatting maken óf er een DPIA uitgevoerd moet worden. Hierin is leidend of er een hoog privacyrisico ontstaat bij de gegevensverwerking. De Europese privacytoezichthouders hebben een handreiking opgesteld voor de gavallen waarin in ieder geval een DPIA uitgevoerd moet worden.

Uitgangspunt hierbij is dat een DPIA moet worden uitgevoerd als de verwerking aan 2 of meer van de onderstaande criteria voldoet:

# Beoordelen van mensen op basis van persoonskenmerken
# Geautomatiseerde besluiten
# Stelselmatige en grootschalige monitoring
# Gevoelige gegevens (bijvoorbeeld bijzondere persoonsgegevens, zoals strafrechtelijke gegevens)
# Grootschalige gegevensverwerkingen
# Gekoppelde databases
# Gegevens over kwetsbare personen
# Gebruik van nieuwe technologieën
# Blokkering van een recht, dienst of contract

==== DPIA in de ontwerpfase ====
De AVG gaat uit van het privacy by design en privacy by default principe. Om aan deze principes te voldoen, is het van belang dat een DPIA al in de ontwerpfase van de gegevensverwerking wordt uitgevoerd. Zo voorkomt de organisatie dat er onrechtmatig te grote privacy risico’s worden genomen. Het uitvoeren van een DPIA is geen eenmalige taak, maar een continu proces. Verandert er iets in het proces van gegevensverwerking, moet er een nieuwe DPIA uitgevoerd worden.
Als de organisatie een Functionaris Gegevensbescherming (FG) heeft aangesteld, is het verplicht om bij deze advies in te winnen met betrekking tot de DPIA. De FG houdt intern toezicht op de gegevensverwerkingen en naleving van de AVG.

DPIA

2023-07-20T15:15:07Z

Editor 5: DPIA pagina aangemaakt

In het kort
DPIA staat voor Data protection impact assessment. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling (GEB) genoemd. Wanneer een organisatie persoonsgegevens gaat verwerken en zij beoordelen dat hierbij een hoog privacy risico ontstaat moet een DPIA worden uitgevoerd.
Waarom een DPIA uitvoeren?
De DPIA is een instrument waarbij de organisatie inzicht verkrijgt in de privacy risico’s die een gegevensverwerking met zich mee brengt. De DPIA wordt dus uitgevoerd, voordat de gegevensverwerking plaatsvindt. Uit de DPIA volgen de maatregelen die een organisatie moet treffen om de ingeschatte risico’s te verkleinen. Het uitvoeren van DPIA’s valt onder de verantwoordingsplicht.
Wanneer een DPIA uitvoeren?
Een organisatie moet zelf de inschatting maken óf er een DPIA uitgevoerd moet worden. Hierin is leidend of er een hoog privacyrisico ontstaat bij de gegevensverwerking. De Europese privacytoezichthouders hebben een handreiking opgesteld voor de gavallen waarin in ieder geval een DPIA uitgevoerd moet worden. Uitgangspunt hierbij is dat een DPIA moet worden uitgevoerd als de verwerking aan 2 of meer van de onderstaande criteria voldoet:
1. Beoordelen van mensen op basis van persoonskenmerken
2. Geautomatiseerde besluiten
3. Stelselmatige en grootschalige monitoring
4. Gevoelige gegevens (bijvoorbeeld bijzondere persoonsgegevens, zoals strafrechtelijke gegevens)
5. Grootschalige gegevensverwerkingen
6. Gekoppelde databases
7. Gegevens over kwetsbare personen
8. Gebruik van nieuwe technologieën
9. Blokkering van een recht, dienst of contract

DPIA in de ontwerpfase
De AVG gaat uit van het privacy by design en privacy by default principe. Om aan deze principes te voldoen, is het van belang dat een DPIA al in de ontwerpfase van de gegevensverwerking wordt uitgevoerd. Zo voorkomt de organisatie dat er onrechtmatig te grote privacy risico’s worden genomen. Het uitvoeren van een DPIA is geen eenmalige taak, maar een continu proces. Verandert er iets in het proces van gegevensverwerking, moet er een nieuwe DPIA uitgevoerd worden.
Als de organisatie een Functionaris Gegevensbescherming (FG) heeft aangesteld, is het verplicht om bij deze advies in te winnen met betrekking tot de DPIA. De FG houdt intern toezicht op de gegevensverwerkingen en naleving van de AVG.

Toestemming

2023-07-20T14:40:27Z

Editor 5: Toestemming pagina aangemaakt

== In het kort ==
De definitie van ‘toestemming’ in de AVG is elke ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of ondubbelzinnige actieve handeling aanvaardt dat zijn persoonsgegevens worden verwerkt’ (artikel 4 lid 11 AVG).

Toestemming moet aan de volgende eisen voldoen:

* toestemming is specifiek gericht op de verwerking van bepaalde gegevens. De organisatie moet specifiek aangegeven welke gegevens ze verwerken.
* toestemming is ondubbelzinnig. Er mag geen twijfel zijn over de vraag of de betrokkene toestemming geeft. Toestemming moet daarom actief door de organisatie worden gevraagd en expliciet door betrokkene gegeven te worden (denk aan een toestemmingsformulier).
* de betrokkene moet daarnaast vrij zijn om zijn wil te kunnen uiten.
* informed consent. De betrokkene kan alleen verantwoord toestemming geven als deze vooraf is geïnformeerd over het verwerken van zijn persoonsgegevens.

== Wanneer vraag je toestemming? ==
De AVG gaat uit van een zestal mogelijke [[AVG-grondslagen|grondslagen]] op basis waarvan gegevens kunnen worden verwerkt. Toestemming wordt eigenlijk gevraagd als er niet aan een van de andere grondslagen wordt voldaan. Aan de grondslag ‘toestemming’ zitten namelijk wel een aantal voorwaarden. Is de betrokkene bijvoorbeeld afhankelijk van de partij die de gegevens verwerkt (denk aan een werkgever-werknemer of overheid-burger relatie), kan de toestemming niet vrijelijk gegeven worden. Toestemming is in die situatie geen geldige grondslag.

Het is daarom verstandiger om de verwerking van persoonsgegevens, indien mogelijk, te baseren op een van de andere AVG-grondslagen, omdat daarbij de relatie van de verwerker en de betrokkene niet zo van belang is.

Toestemming kan daarnaast altijd door de betrokkene worden ingetrokken. Ook om die reden is het verstandig om de gegevensverwerking te baseren op een van de andere AVG-grondslagen, als dat mogelijk is.

== Hoe vraag je toestemming? ==
Toestemming kan zowel mondeling als schriftelijk worden gegeven. Om problemen achter te voorkomen is het belangrijk dat de toestemming wordt vastgelegd. Mocht de organisatie de toestemming vast leggen in een toestemmingsverklaring, dan is het niet toegestaan om met een algemene toestemmingsverklaring te werken. Een algemene toestemmingsverklaring is niet gericht op de verwerking van specifieke gegevens en is daardoor niet concreet en specifiek.

== Toestemming bij minderjarigen en betrokkenen die de eigen privacyrechten niet kunnen uitoefenen ==
Bij betrokkenen jonger dan 16 jaar, of zij die onder curatele zijn gesteld, dan wel ten behoeve van een betrokkene waarbij een mentorschap is ingesteld, is in de plaats van de toestemming van de cliënt die van zijn wettelijk vertegenwoordiger vereist (artikel 8 AVG).

AVG-grondslagen

2023-07-20T14:35:28Z

Editor 5: pagina AVG-grondslagen aangemaakt

== in het kort ==
Het verwerken van persoonsgegevens brengt een inbreuk in de privacy rechten met zich mee. Om die reden mag de verwerking van persoonsgegevens alleen als er geldige grondslag is.

De AVG geeft 6 mogelijke grondslagen:

# U heeft [[toestemming]] van de persoon om wie het gaat.
# Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
# Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
# Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
# Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
# Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang van de organisatie te behartigen.

== Waar leg je dit vast? ==
Als er een rechtsgeldige grondslag is voor de specifieke gegevensverwerking, moet dit vastgelegd worden. Dit kan een organisatie op meerdere manieren doen:

* In de privacyverklaring. De privacyverklaring is vrij toegankelijk op de website of onderdeel van een overeenkomst. Op die manier weten (potentiële) klanten welke gegevens de organisatie verwerkt en waarom. De organisatie moet transparant zijn over welke grondslag zij gebruiken om te voldoen aan de informatieplicht uit de AVG.
* In het privacybeleid (niet iedere organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan de verantwoordingsplicht uit de AVG te voldoen.
* Neem de grondslag ook op in het verwerkingsregister. Het bijhouden van een verwerkingsregister is ook een onderdeel van de verantwoordingsplicht.

AVG-grondslagen

2023-07-20T14:31:42Z

Editor 5: gelinkt aan toestemming pagina

in het kort

Het verwerken van persoonsgegevens brengt een inbreuk in de privacy rechten met zich mee. Om die reden mag de verwerking van persoonsgegevens alleen als er geldige grondslag is.
De AVG geeft 6 mogelijke grondslagen:

1. U heeft [[toestemming]] van de persoon om wie het gaat.
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang van de organisatie te behartigen.

Waar leg je dit vast?

Zodra er een rechtsgeldige grondslag is voor de specifieke gegevensverwerking, moet dit vastgelegd worden. Dit kan een organisatie op meerdere manieren doen:

• In de privacyverklaring. De privacyverklaring is vrij toegankelijk op de website of onderdeel van een overeenkomst. Op die manier weten (potentiële) klanten welke gegevens de organisatie verwerkt en waarom. De organisatie moet transparant zijn over welke grondslag zij gebruiken om te voldoen aan de informatieplicht uit de AVG.

• In het privacybeleid (niet iedere organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan de verantwoordingsplicht uit de AVG te voldoen.

• Neem de grondslag ook op in het verwerkingsregister. Het bijhouden van een verwerkingsregister is ook een onderdeel van de verantwoordingsplicht.

AVG-grondslagen

2023-07-20T14:31:09Z

Editor 5: pagina AVG-grondslagen aangemaakt

in het kort

Het verwerken van persoonsgegevens brengt een inbreuk in de privacy rechten met zich mee. Om die reden mag de verwerking van persoonsgegevens alleen als er geldige grondslag is.
De AVG geeft 6 mogelijke grondslagen:

1. U heeft toestemming van de persoon om wie het gaat.
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang van de organisatie te behartigen.

Waar leg je dit vast?

Zodra er een rechtsgeldige grondslag is voor de specifieke gegevensverwerking, moet dit vastgelegd worden. Dit kan een organisatie op meerdere manieren doen:

• In de privacyverklaring. De privacyverklaring is vrij toegankelijk op de website of onderdeel van een overeenkomst. Op die manier weten (potentiële) klanten welke gegevens de organisatie verwerkt en waarom. De organisatie moet transparant zijn over welke grondslag zij gebruiken om te voldoen aan de informatieplicht uit de AVG.

• In het privacybeleid (niet iedere organisatie is verplicht om een privacybeleid te hebben). Dit kan helpen om aan de verantwoordingsplicht uit de AVG te voldoen.

• Neem de grondslag ook op in het verwerkingsregister. Het bijhouden van een verwerkingsregister is ook een onderdeel van de verantwoordingsplicht.

Toestemming

2023-07-20T14:24:25Z

Editor 5: Nieuwe pagina aangemaakt met 'In het kort De definitie van ‘toestemming’ in de AVG is elke ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of ondubbelzinnige actieve handeling aanvaardt dat zijn persoonsgegevens worden verwerkt’ (artikel 4 lid 11 AVG). Toestemming moet aan de volgende eisen voldoen: • toestemming is specifiek gericht op de verwerking van bepaalde gegevens. De organisatie moet specifiek aange...'

In het kort

De definitie van ‘toestemming’ in de AVG is elke ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of ondubbelzinnige actieve handeling aanvaardt dat zijn persoonsgegevens worden verwerkt’ (artikel 4 lid 11 AVG).
Toestemming moet aan de volgende eisen voldoen:

• toestemming is specifiek gericht op de verwerking van bepaalde gegevens. De organisatie moet specifiek aangegeven welke gegevens ze verwerken.
• toestemming is ondubbelzinnig. Er mag geen twijfel zijn over de vraag of de betrokkene toestemming geeft. Toestemming moet daarom actief door de organisatie worden gevraagd en expliciet door betrokkene gegeven te worden (denk aan een toestemmingsformulier).
• de betrokkene moet daarnaast vrij zijn om zijn wil te kunnen uiten.
• informed consent. De betrokkene kan alleen verantwoord toestemming geven als deze vooraf is geïnformeerd over het verwerken van zijn persoonsgegevens.

Wanneer vraag je toestemming?

De AVG gaat uit van een zestal mogelijke grondslagen op basis waarvan gegevens kunnen worden verwerkt. Je vraagt eigenlijk toestemming als er niet aan een van de andere grondslagen wordt voldaan. Aan de grondslag ‘toestemming’ zitten namelijk wel een aantal voorwaarden. Is de betrokkene bijvoorbeeld afhankelijk van de partij die de gegevens verwerkt (denk aan een werkgever-werknemer of overheid-burger relatie), kan de toestemming niet vrijelijk gegeven worden.

Het is daarom verstandiger om de verwerking van persoonsgegevens, indien mogelijk, te baseren op een van de andere AVG-grondslagen, omdat daarbij de relatie van de verwerker en de betrokkene niet zo van belang is.

Toestemming kan daarnaast altijd door de betrokkene worden ingetrokken. Ook om die reden is het verstandig om de gegevensverwerking te baseren op een van de andere AVG-grondslagen, als dat mogelijk is.

Hoe vraag je toestemming?

Toestemming kan zowel mondeling als schriftelijk worden gegeven. Om problemen achter te voorkomen is het belangrijk dat de toestemming wordt vastgelegd. Mocht de organisatie de toestemming vast leggen in een toestemmingsverklaring, dan is het niet toegestaan om met een algemene toestemmingsverklaring te werken. Een algemene toestemmingsverklaring is niet gericht op de verwerking van specifieke gegevens en is daardoor niet concreet en specifiek.

Toestemming bij minderjarigen en betrokkenen die de eigen privacyrechten niet kunnen uitoefenen

Bij betrokkenen jonger dan 16 jaar, of zij die onder curatele zijn gesteld, dan wel ten behoeve van een betrokkene waarbij een mentorschap is ingesteld, is in de plaats van de toestemming van de cliënt die van zijn wettelijk vertegenwoordiger vereist (artikel 8 AVG).