Norm RB.03 Toestemming

De organisatie voldoet aan de wettelijke vereisten wanneer een verwerking is gebaseerd op toestemming.

Waarom is dit nodig?

Door bij de verwerking van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. gebaseerd op de verwerkingsgrondslag ‘toestemming’ aan de voorwaarden van de AVG te voldoen zorg je ervoor dat betrokkenenDe personen van wie persoonsgegevens worden verwerkt. als leerlingen en medewerkers geïnformeerd zijn, in vrijheid hun toestemming kunnen geven en weten zij dat zij die ook kunnen weigeren en intrekken. Alleen dan is de toestemming geldig en kun je de persoonsgegevens rechtmatig verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming..

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc

Er zijn geen gestandaardiseerde processen voor de identificatie van verwerkingen die op toestemming zijn gebaseerd.
Er is geen documentatie van toestemming.
Er is geen procedure om toestemming in te trekken.

2 Herhaalbaar

De organisatie heeft een informeel proces om verwerkingen die op toestemming zijn gebaseerd te identificeren, maar dit proces wordt niet consequent gevolgd.
De organisatie vraagt toestemming van betrokkenen, maar de toestemming is niet altijd vrij, geïnformeerd, specifiek en ondubbelzinnig.
Toestemming wordt in een aantal gevallen gedocumenteerd, maar dit is nog niet consequent of volledig.
Betrokkenen hebben de mogelijkheid om toestemming in te trekken, maar dit proces is niet altijd duidelijk of gemakkelijk.

3 Bepaald (streefniveau)

De organisatie heeft vastgesteld welke verwerkingen op toestemming zijn gebaseerd.
Toestemming wordt correct gevraagd volgens de vereisten die zijn opgenomen in AVG artikel 4 sub 11 en artikel 7 en 8 AVG.
Toestemming wordt consequent en volledig gedocumenteerd.
Betrokkenen kunnen hun toestemming gemakkelijk intrekken.

4 Beheerst

Aanvullend op niveau 3:

De organisatie evalueert periodiek haar processen om te bepalen welke verwerkingen op toestemming zijn gebaseerd.
Er zijn periodieke beoordelingen en audits om ervoor te zorgen dat toestemming correct wordt gevraagd en gedocumenteerd.
Het proces voor het intrekken van toestemming wordt periodiek geëvalueerd en indien nodig aangepast.

5 Continu verbeteren

Aanvullend op niveau 3 en 4:

De organisatie heeft systemen en processen om te bepalen welke verwerkingen op toestemming zijn gebaseerd.
Documentatie van toestemming wordt (automatisch) bijgewerkt en gevolgd via systemen.
Betrokkenen kunnen hun toestemming gemakkelijk intrekken en intrekkingen worden tijdig verwerkt.

Voorbeelddocumenten

Model toestemming gebruik beeldmateriaal (docx)

Gerelateerde wetten en normen

Norm BL.03 Toestemming is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken