Waaraan moet toestemming voor direct marketing voldoen onder de AVG?

Antwoord

In veel gevallen zult u voor het verzamelen en het gebruik van persoonsgegevens voor direct marketing toestemming nodig hebben. Volgens de Algemene verordening gegevensbescherming (AVG) moet deze toestemming aan vier eisen voldoen: ‘vrij’, ‘specifiek’, ‘geïnformeerd’ en ‘ondubbelzinnig’.

Toelichting

1. Vrij

Iemand moet vrij zijn om toestemming te geven, maar ook om deze te weigeren of in te trekken. Weigert iemand toestemming te geven? Dan mag dat er bijvoorbeeld niet voor zorgen dat u deze persoon een dienst weigert omdat geen toestemming is gegeven.

2. Specifiek

Dit betekent dat er geen twijfel over mag bestaan voor welk specifiek gebruik van de gegevens iemand toestemming heeft gegeven. Het moet bijvoorbeeld duidelijk zijn welke gegevens u voor direct marketing wilt gebruiken.

3. Geïnformeerd

U moet mensen, voordat zij toestemming geven, duidelijk informeren over de verwerking van hun persoonsgegevens. Dit moet u in begrijpelijke taal doen, zodat mensen ook echt weten waarvoor zij toestemming geven. U zult dus heel open en transparant veel informatie moeten geven, op een overzichtelijke manier.

Let op: vraagt u toestemming tegelijk met het verzoek om een overeenkomst te accepteren? Dan mag u de toestemming niet ‘verstoppen’ als onderdeel van het contract. U moet het deel dat over direct marketing gaat duidelijk en apart vermelden.

4. Ondubbelzinnig

Er moet sprake zijn van een duidelijke actieve handeling. Bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval volstrekt helder zijn dát er toestemming is verleend. U mag niet uit gaan van het principe ‘wie zwijgt, stemt toe’. Het gebruik van voor-aangevinkte vakjes is dus niet toegestaan.

Verstrekken aan derde partijen

Wilt u de persoonsgegevens van uw klanten aan derde partijen verstrekken? Dan heeft u hiervoor apart toestemming nodig. U moet uw klanten goed informeren aan welke (categorieën van) derde partijen u de persoonsgegevens verstrekt.

Toestemming intrekken

Mensen die toestemming hebben gegeven, moeten die op elk door hun gewenst moment kunnen intrekken via elk e-mail, sms of app die u verstuurt. U moet ervoor zorgen dat toestemming intrekken gratis is en net zo makkelijk gaat als toestemming geven. Het is dus verboden om mensen alleen de mogelijkheid te bieden hun toestemming per post of telefoon in te trekken.

Toestemming bewijzen

U moet kunnen aantonen dat u daadwerkelijk toestemming heeft gekregen. Dit is onderdeel van de verantwoordingsplicht die u onder de AVG heeft.

Let op: om geldige toestemming aan te tonen, is het essentieel dat u kunt laten zien op basis van welke informatie iemand toestemming heeft gegeven. Het is dus niet genoeg om alleen de toestemming zelf vast te leggen.

Datum: 4 oktober 2018
Bron: Autoriteit Persoonsgegevens