Norm RB.03 Toestemming

De organisatie voldoet aan de wettelijke vereisten wanneer een verwerking is gebaseerd op toestemming.

Waarom is dit nodig?

Door bij de verwerking van persoonsgegevens gebaseerd op de verwerkingsgrondslag ‘toestemming’ aan de voorwaarden van de AVG te voldoen zorg je ervoor dat betrokkenen als leerlingen en medewerkers geïnformeerd zijn, in vrijheid hun toestemming kunnen geven en weten zij dat zij die ook kunnen weigeren en intrekken. Alleen dan is de toestemming geldig en kun je de persoonsgegevens rechtmatig verwerken.

Volwassenheidsniveaus

We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.

1 Ad hoc
  • Er zijn geen gestandaardiseerde processen voor de identificatie van verwerkingen die op toestemming zijn gebaseerd.
  • Er is geen documentatie van toestemming.
  • Er is geen procedure om toestemming in te trekken.
2 Herhaalbaar
  • De organisatie heeft een informeel proces om verwerkingen die op toestemming zijn gebaseerd te identificeren, maar dit proces wordt niet consequent gevolgd.
  • De organisatie vraagt toestemming van betrokkenen, maar de toestemming is niet altijd vrij, geïnformeerd, specifiek en ondubbelzinnig.
  • Toestemming wordt in een aantal gevallen gedocumenteerd, maar dit is nog niet consequent of volledig.
  • Betrokkenen hebben de mogelijkheid om toestemming in te trekken, maar dit proces is niet altijd duidelijk of gemakkelijk.
3 Bepaald (streefniveau)
  • De organisatie heeft vastgesteld welke verwerkingen op toestemming zijn gebaseerd.
  • Toestemming wordt correct gevraagd volgens de vereisten die zijn opgenomen in AVG artikel 4 sub 11 en artikel 7 en 8 AVG.
  • Toestemming wordt consequent en volledig gedocumenteerd.
  • Betrokkenen kunnen hun toestemming gemakkelijk intrekken.
4 Beheerst

Aanvullend op niveau 3:

  • De organisatie evalueert periodiek haar processen om te bepalen welke verwerkingen op toestemming zijn gebaseerd.
  • Er zijn periodieke beoordelingen en audits om ervoor te zorgen dat toestemming correct wordt gevraagd en gedocumenteerd.
  • Het proces voor het intrekken van toestemming wordt periodiek geëvalueerd en indien nodig aangepast.
5 Continu verbeteren

Aanvullend op niveau 3 en 4:

  • De organisatie heeft systemen en processen om te bepalen welke verwerkingen op toestemming zijn gebaseerd.
  • Documentatie van toestemming wordt (automatisch) bijgewerkt en gevolgd via systemen.
  • Betrokkenen kunnen hun toestemming gemakkelijk intrekken en intrekkingen worden tijdig verwerkt.

Aan de slag

Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.

  • Hou in het verwerkingsregister bij voor welke verwerkingen toestemming moet worden gevraagd van betrokkenen.
  • Zorg ervoor dat bij verwerkingen waarvoor toestemming nodig is, de manier waarop toestemming wordt gevraagd en gegeven voldoet aan de eisen van de AVG. Dit betekent onder meer dat betrokkenen vooraf worden geïnformeerd over het doel waarvoor toestemming wordt gevraagd en dat de toestemming actief – geen opt-out maar opt-in – en vrijwillig wordt gegeven. Vraag bij kinderen jonger dan 16 jaar toestemming aan de ouders/verzorgenden.
  • Zorg ervoor dat de betrokkene toestemming altijd kan intrekken op een manier die net zo eenvoudig is als de manier waarop de toestemming is gegeven. Informeer de betrokkene vooraf over de mogelijkheid om de toestemming in te trekken.
  • Zorg ervoor dat achteraf aangetoond kan worden dat toestemming is gegeven, zowel digitaal als analoog.

Hulpmiddelen

Gerelateerde wetten en normen

Norm BL.03 Toestemming is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).

AVG

Afdrukken

Op deze pagina