Hoe toestemming vragen ?

Voor de verwerking in het sociaal domein is de toestemming voor de verwerking van persoonsgegevens meestal niet vereist. Als er een grondslag is voor de verwerking van persoonsgegevens, hoeft men niet naar de toestemming te vragen.

Als uw organisatie de toestemming moet vragen voor de verwerking van persoonsgegevens, zal de opmaak van het te ondertekenen document of via een opt-in aan bepaalde criteria moeten voldoen.

Als men als hulpverlener op grond van het doorbreken van de geheimhoudingsplicht toestemming nodig heeft van de betrokkene, kunnen de volgende punten een hulpmiddel zijn voor de opmaak van het document.

Wat moet er in de toestemming staan?

  1. De aard van de te verwerken persoonsgegevens.

Vb: naam, voornaam, e-mailadres,…

Hier dienen wij ons te houden aan dataminimalisatie wat betekent dat overbodige gegevens niet mogen opgevraagd worden.

  1. De verantwoordelijke voor de verwerking van persoonsgegevens.

Dit is de persoon met wie er gecommuniceerd wordt betreffende privacyregels.

  1. Wat is het doeleinde van de verwerking?

Waarom verwerken wij persoonsgegevens en hoeveel persoonsgegevens zijn dat dan?

  1. Van wie zijn welke persoonsgegevens?

Er moet een opsomming zijn van de te verwerken persoonsgegevens.

  1. Wie is de ontvanger van persoonsgegevens?

Zal uw organisatie deze gegevens verder verwerken en zijn er nog andere ontvangers die niet gekend zijn bij de betrokkene of worden deze gegevens doorverkocht?

  1. Technische- en organisatorische maatregelen.

De organisatie moet bewijzen welke maatregelen zij genomen hebben om zo veel als mogelijk dataverlies, -diefstal of -lekken te voorkomen.

  1. Wat is de bewaringstermijn?

Werd de wettelijke procedure toegepast of blijven de gegevens bewaard tot dat men de toestemming intrekt?

  1. Rechten van betrokkenen.

Houd rekening met rechten van toegang of rechten van rectificatie, bezwaar, vergetelheid, overdraagbaarheid en ook betreffende de kennisgeving aan betrokkenen.

  1. Waar moet men zijn voor klachten?

Omschrijf duidelijk waar men terecht kan voor klachten en specifieer ook het adres van de landelijke autoriteit.

  1. De Toestemming.

 Specifieer voor welke persoonsgegevens er toestemming wordt gevraagd   waarbij de betrokkene ook verklaart dat de toestemming werd gegeven.

Doe de test om te weten in hoeverre je organisatie al compliant is met de GDPR-wetgeving.

Wanneer vraag je dan om toestemming?

Je kan de toestemming vragen in verschillende gevallen. De toestemmingsclausule kan online en offline toegepast worden.

Zo kan er toestemming gevraagd worden voor het versturen van een nieuwsbrief via de website van een onderneming of vraagt een psychiater de toestemming om het medisch dossier over te dragen aan een behandelende arts of je wil graag een foto plaatsen van een andere persoon op sociale media.

Zolang de toestemming maar VRIJ is!

De betrokkene moet de keuze hebben om de toestemming te weigeren of om ze te accepteren en dat kan niet als;

  • Als de betrokkene geen opt-out ter beschikking gesteld wordt,
  • Als de toestemming niet onderhandelbaar is,
  • Als er geen aparte toestemming gevraagd wordt voor andere te verwerken persoonsgegevens,
  • Als de weigering nadelig uitkomt voor de betrokkene,
  • Als er een slechte verhouding is tussen de verwerk en de betrokkene.

De toestemming moet duidelijk geïnformeerd zijn!

De betrokkene moet goed weten waarvoor hij of zij de toestemming geeft en dat kan enkel als er juist gecommuniceerd wordt, volledig is en in een begrijpelijk geschreven taal.

Het kan ook zijn dat je de te verwerken persoonsgegevens niet rechtstreeks van de betrokkene zelf krijgt maar via een derde, ben je gehouden om die informatie binnen een redelijke termijn aan de betrokkene mede te delen.

De toestemming moet specifiek zijn!

De betrokken, de klant of de patiënt moet op de hoogte zijn van het doel van de verwerking en als het meerdere doelen zijn zou deze de mogelijkheid moeten hebben om de toestemming te geven op elk item apart.

De toestemming moet ondubbelzinnig zijn!

De betrokkene mag dus niet om de tuin geleid worden door slimme handelingen van de verwerker en mag er geen onduidelijkheid zijn over het geven van toestemming.

Wat kan niet bij toestemming?

  • Via een website reeds keuzevakjes standaard aangevinkt aanbieden
  • Dat men vakjes moet uitvinken om toestemming te weigeren
  • De vermelding dat wij Cookies verzamelen zonder meer uitleg

Wat is de geldigheidsduur van de toestemming?

De geldigheidsduur van gegeven toestemming hangt vooral af van het doel waarvoor de toestemming in de eerste plaats gegeven werd en heeft niet echt een bepaalde wettelijke duur die door de wet wordt voorgedragen.

Het is aan de verwerkingsverantwoordelijke om controle uit te oefenen of er nog voldoende rechtsgrond bestaat voor bepaalde persoonsgegevens te bewaren en de betrokkene moet even gemakkelijk kunnen uitschrijven (opt-out) als hij of zij heeft kunnen inschrijven (opt-in).

Delen:

Meer berichten

DORA

Hoe te voldoen aan DORA vereisten

Inleiding: In de snel evoluerende digitale wereld van vandaag is cybersecurity een prioriteit geworden voor organisaties van elke omvang en in elke

de toekomst van GDPR

De Toekomst van Gegevensbescherming

Inleiding: Sinds de implementatie in 2018 heeft de Algemene Verordening Gegevensbescherming (GDPR) een aanzienlijke impact gehad op de manier waarop organisaties wereldwijd

Meer info: