Norm RB.03 Toestemming
Waarom is dit nodig?
Door bij de verwerking van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. gebaseerd op de verwerkingsgrondslag ‘toestemming’ aan de voorwaarden van de AVG te voldoen zorg je ervoor dat betrokkenenDe personen van wie persoonsgegevens worden verwerkt. als leerlingen en medewerkers geïnformeerd zijn, in vrijheid hun toestemming kunnen geven en weten zij dat zij die ook kunnen weigeren en intrekken. Alleen dan is de toestemming geldig en kun je de persoonsgegevens rechtmatig verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming..
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er zijn geen gestandaardiseerde processen voor de identificatie van verwerkingen die op toestemming zijn gebaseerd.
- Er is geen documentatie van toestemming.
- Er is geen procedure om toestemming in te trekken.
2 Herhaalbaar
- De organisatie heeft een informeel proces om verwerkingen die op toestemming zijn gebaseerd te identificeren, maar dit proces wordt niet consequent gevolgd.
- De organisatie vraagt toestemming van betrokkenen, maar de toestemming is niet altijd vrij, geïnformeerd, specifiek en ondubbelzinnig.
- Toestemming wordt in een aantal gevallen gedocumenteerd, maar dit is nog niet consequent of volledig.
- Betrokkenen hebben de mogelijkheid om toestemming in te trekken, maar dit proces is niet altijd duidelijk of gemakkelijk.
3 Bepaald (streefniveau)
- De organisatie heeft vastgesteld welke verwerkingen op toestemming zijn gebaseerd.
- Toestemming wordt correct gevraagd volgens de vereisten die zijn opgenomen in AVG artikel 4 sub 11 en artikel 7 en 8 AVG.
- Toestemming wordt consequent en volledig gedocumenteerd.
- Betrokkenen kunnen hun toestemming gemakkelijk intrekken.
4 Beheerst
Aanvullend op niveau 3:
- De organisatie evalueert periodiek haar processen om te bepalen welke verwerkingen op toestemming zijn gebaseerd.
- Er zijn periodieke beoordelingen en audits om ervoor te zorgen dat toestemming correct wordt gevraagd en gedocumenteerd.
- Het proces voor het intrekken van toestemming wordt periodiek geëvalueerd en indien nodig aangepast.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De organisatie heeft systemen en processen om te bepalen welke verwerkingen op toestemming zijn gebaseerd.
- Documentatie van toestemming wordt (automatisch) bijgewerkt en gevolgd via systemen.
- Betrokkenen kunnen hun toestemming gemakkelijk intrekken en intrekkingen worden tijdig verwerkt.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Hou in het verwerkingsregister bij voor welke verwerkingen toestemming moet worden gevraagd van betrokkenen.
- Zorg ervoor dat bij verwerkingen waarvoor toestemming nodig is, de manier waarop toestemming wordt gevraagd en gegeven voldoet aan de eisen van de AVG. Dit betekent onder meer dat betrokkenen vooraf worden geïnformeerd over het doel waarvoor toestemming wordt gevraagd en dat de toestemming actief – geen opt-outDe mogelijkheid om ervoor te kiezen je persoonsgegevens niet te delen. maar opt-inDe mogelijkheid om ervoor te kiezen je persoonsgegevens te delen. – en vrijwillig wordt gegeven. Vraag bij kinderen jonger dan 16 jaar toestemming aan de oudersWaar ouders staat worden de wettelijke vertegenwoordigers bedoeld: personen die de ouderlijke verantwoordelijkheid dragen voor het kind. Dit kunnen ook verzorgenden zijn./verzorgenden.
- Zorg ervoor dat de betrokkene toestemming altijd kan intrekken op een manier die net zo eenvoudig is als de manier waarop de toestemming is gegeven. Informeer de betrokkene vooraf over de mogelijkheid om de toestemming in te trekken.
- Zorg ervoor dat achteraf aangetoond kan worden dat toestemming is gegeven, zowel digitaal als analoog.
Hulpmiddelen
Gerelateerde wetten en normen
Norm BL.03 Toestemming is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).