Nee, meestal is toestemming geen geldige grondslag voor bestuursorganen om persoonsgegevens van burgers te verwerken. Toch kunt u als uitkeringsinstantie in een situatie komen waarin het vragen van toestemming wenselijk is: u wilt ervoor zorgen dat mensen in een kwetsbare positie hulp krijgen van andere organisaties. In die situatie kan er soms toch sprake zijn van geldige toestemming bij een bestuursorgaan.
 

Do you use a cookie banner for asking consent for processing the personal data of your website visitors? Do not forget that your website visitors must also be able to withdraw their consent. 

Withdrawing consent must be possible at any time. It must be just as easy as giving consent. You are not allowed to require a user to pay money for this. In addition, the withdrawal of consent should not have any negative consequences for your website visitors. 

You must give your website visitors information about how they can withdraw consent before they give it. This can be achieved by including a brief explanation in the cookie banner, with a button or a link. Make sure that there is always another way in which people can easily find the place where they can withdraw their consent. 

Does it (also) concern consent for the processing of personal data by third parties? Then you also have to inform these third parties that someone has withdrawn the consent. 

Also read the Dutch DPA's standard explanation about withdrawing consent with cookie banners (in Dutch).

Vraagt u met een cookiebanner toestemming om de persoonsgegevens van uw websitebezoekers te verwerken? Vergeet dan niet dat uw websitebezoekers hun toestemming ook weer moeten kunnen intrekken. 

Toestemming intrekken moet op ieder moment kunnen. Het moet net zo gemakkelijk zijn als toestemming geven. U mag er geen kosten voor rekenen. Toestemming intrekken mag bovendien geen nadelige gevolgen hebben voor uw websitebezoekers. 

U moet uw websitebezoekers informatie geven over hoe zij toestemming kunnen intrekken voordat zij toestemming geven. Bijvoorbeeld door in de cookiebanner een korte uitleg op te nemen, met een knop of link. Zorg ervoor dat mensen ook op een andere manier altijd gemakkelijk de plek kunnen vinden waar zij hun toestemming kunnen intrekken. 

Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken. 

Lees ook de normuitleg van de AP over intrekken van toestemming bij cookiebanners.

Nee, meestal mag de overheid dat niet. De overheid is bijvoorbeeld uw gemeente of het UWV. Als een organisatie u om toestemming vraagt, moet u ook ‘nee’ kunnen zeggen. En dat kan lastig zijn bij de overheid. Want vaak heeft u iets nodig van de overheid. Bijvoorbeeld een voorziening, zoals een traplift. Of een uitkering. U bent dus afhankelijk van de overheid.

Meestal is het ook niet nodig dat de overheid u om toestemming vraagt om uw gegevens te gebruiken of delen. Omdat vaak al in een wet staat dat de overheid dat mag.

Soms staat er niks in een wet. Maar wil een organisatie van de overheid toch uw gegevens delen. Omdat blijkt dat u hulp nodig heeft. De organisatie wil dan uw gegevens doorgeven aan andere organisaties, waar u die hulp kunt krijgen. Organisaties die u zelf niet goed weet te vinden.

Dan kan het zijn toegestaan. De organisatie moet u dan wel goed uitleggen:

• welke gegevens van u de organisatie deelt;
• waarom dat is (voor welk doel);
• hoe dat in zijn werk gaat.

U moet ook even de tijd krijgen om te beslissen of u hiervoor toestemming geeft. En u mag natuurlijk altijd weigeren.

Wilt u meer weten? Lees dan Toestemming bij de overheid.

Nee. U bent namelijk geen verwerker, ook al werkt u als logistieke dienstverlener voor een opdrachtgever.

U bent zelf verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens die noodzakelijk zijn voor uw dienstverlening. Zoals namen, adressen, postcodes, woonplaatsen en eventueel telefoonnummers en e-mailadressen voor track & trace-bezorging.

Bewaart u visitekaartjes die u krijgt systematisch (bijvoorbeeld door deze op alfabetische volgorde op te slaan) voor professioneel gebruik? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing.

U bent dan strikt genomen verwerkingsverantwoordelijke. Dat betekent dat u de verwerking van de persoonsgegevens die op visitekaartjes staan, moet kunnen baseren op een grondslag.

In dit geval kunt u de verwerking baseren op de grondslag ‘toestemming’. U mag namelijk aannemen dat degene die u het visitekaartje geeft, u daarbij ook toestemming geeft om het kaartje te gebruiken waarvoor het bedoeld is (contactgegevens bewaren en gebruiken). U kunt eenvoudig aantonen dat u toestemming heeft gekregen doordat u het kaartje in uw bezit heeft.

Er zijn twee situaties waarin de AVG niet van toepassing is op de visitekaartjes die u krijgt:

• U krijgt visitekaartjes privé en gebruikt deze alleen voor uzelf, dus niet voor uw werk.
• U bewaart visitekaartjes niet systematisch. De AVG geldt dan niet, want er is geen sprake van een geheel of gedeeltelijk geautomatiseerde verwerking of opname in een bestand.

Informeren niet nodig

Volgens de wet moet u de degene van wie u gegevens verzamelt informeren over deze verwerking. Maar geeft iemand u een visitekaartje, dan mag u ervan uitgaan dat diegene al weet wat u met de gegevens op het kaartje doet.

Bredere verspreiding

Let op: worden de gegevens op een visitekaartje breder verspreid? Bijvoorbeeld omdat uw werkgever alle ontvangen visitekaartjes centraal inzamelt en registreert, zodat de hele organisatie de gegevens kan gebruiken? Dan mag u niet zomaar aannemen dat u ook daarvoor toestemming heeft van degene die u een visitekaartje geeft.

Het is aan te raden om uw gesprekspartner erop te wijzen dat de gegevens op het kaartje breder verspreid zullen worden. Heeft diegene daar bezwaar tegen? Dan kunt u het kaartje teruggeven of privé houden.

Heeft u bericht ontvangen van een organisatie dat er een datalek is geweest? En dat daarbij bankrekeningnummers zijn gelekt? Dan kunt u dit doen:
 

• Wees alert op telefoontjes of berichten per e-mail, sms of WhatsApp waarbij mensen informatie proberen te ontfutselen, zoals uw pincode. Uw bank zal u nooit op die manier vragen om een bepaalde code te geven of om uw bankpas te versturen naar een bepaald adres.
• Let op eventuele afschrijvingen van uw bankrekening. Criminelen kunnen uw bankrekening gebruiken om spullen te kopen.
• Kijk voor meer informatie op Veiligbankieren.nl.

Heeft u een vraag over het melden van datalekken? Dan kunt u bellen naar 088 - 1805 255. U betaalt uw gebruikelijke telefoonkosten.

Let op: Dit nummer is alleen bedoeld voor organisaties die vragen hebben over de meldplicht datalekken.

Nee, in principe niet. Soms kan de AP toch besluiten het advies over uw verwerking openbaar te maken. Bijvoorbeeld als dit van grote waarde kan zijn voor andere organisaties. Als de AP van plan is het advies openbaar te maken, dan laat de AP u dat vooraf weten.

In de volgende gevallen kan de AP aanleiding zien om een handhavend onderzoek in te stellen of een boete te geven:
 

• wanneer u geen voorafgaande raadpleging aanvraagt terwijl dat wel verplicht is;
• wanneer u al met verwerken bent begonnen voor of tijdens de voorafgaande raadpleging;
• als na afloop van de voorafgaande raadpleging blijkt dat u gegevens verwerkt in strijd met het gegeven advies.

Nee, meestal hoeft dat niet. Voor wetgeving over verwerking van persoonsgegevens geldt sowieso de verplichting om de AP om advies te vragen, of er nou sprake is van hoog risico of niet (artikel 36, vierde lid, AVG).

In dit wetgevingsadvies kijkt de AP al naar de privacyaspecten van de voorgenomen verwerking. Een aparte voorafgaande raadpleging zou in de systematiek van de AVG dubbelop zijn.

Let op: Een wetgevingsadvies van de AP gaat vooral over de wettekst zelf. Zijn er aspecten van de verwerking(en) die niet logischerwijs al aan de orde zijn in de wettekst of de toelichting? Dan maken die geen deel uit van het advies. 

In de uitvoering of de uitvoeringssystemen kunnen zich vraagstukken van feitelijke aard voordoen waar de (nationale) wetgeving niet over gaat. Bijvoorbeeld omdat de regelgeving er niet voor nodig is of een ander abstractieniveau kent. Of omdat het onderwerp in beginsel al volledig door de AVG wordt geregeld (zoals beveiliging van de verwerking in art. 32 AVG). 

Leveren dergelijke onderwerpen een hoog risico op? Dan kunt u daarover wél een voorafgaande raadpleging aanvragen bij de AP. Heeft u een dergelijke voorafgaande raadpleging aangevraagd? Vermeld dit dan bij uw verzoek om een wetgevingsadvies.

Nee. U heeft geen vergunning nodig wanneer u de zwarte lijst alleen intern gebruikt. En ook niet als u de zwarte lijst wel deelt, maar er geen strafrechtelijke persoonsgegevens op staan.