Elk natuurlijke persoon of instelling (betrokkene) waarvan persoonsgegevens verwerkt of beheerd worden, moet hiervoor vrijwillig en expliciet toestemming hebben gegeven. Voordat gestart wordt met de verzameling en het beheer van persoonsgegevens dient de betrokkene toestemming te hebben gegeven. Het liefst getekend op papier. In geval van sensitieve data is een geschreven toestemming altijd gewenst. Er zijn enkele uitzonderingen op deze regel. Met name binnen de Wet GBA gelden andere regels.

In het geval dat de werkgever persoonsgegevens verzamelt via internet dan is er geen mogelijkheid om een geschreven toestemming te verkrijgen. In dit geval kan je de betrokkene om expliciete toestemming vragen door middel van een opt-in methode. In geval van commerciële mededelingen wordt er een zogenaamde dubbele opt-in gevraagd. Een betrokkene moet expliciet 2 keer toestemming geven. Bijvoorbeeld door het ‘aanvinken’ van een optie gevolgd door een waarschuwing die je ook moet bevestigen. Een ander voorbeeld is een bevestigingsemail die verstuurd wordt naar de persoon. In deze email staat een linkje waar je op moet klikken zodat de tweede toestemming geactiveerd wordt.

Vanuit de Wet GBA bestaan vrijstellingen voor het aanmelden van persoonsgegevens. Deze vallen onder het GBA regime. In hoofdstuk 3 staat informatie over de Wet GBA. Dit geld met name over overheid en gemeenten.

TIP!

  • Voeg een standaard ‘privacy statement’ toe een de website die geldig is voor alle formulieren.
  • Voeg een standaard ‘privacy statement’ voor de levering van ‘statistische informatie’ aan derden.
  • Gebruik een opt-in of dubbele opt-in in alle webformulieren.
  • Bewaar de (geschreven) toestemming van de gebruiker zo lang de gegevens van die gebruiker verwerkt worden.
  • Controleer vrijstelling vanuit de Wet GBA