Certain information should be immediately visible in your cookie banner. It must be clear as to who processes the personal data and for what purpose or purposes. This is the information that you put on the ‘first layer’ of your cookie banner. In this way, your website visitor knows what the consent is intended for. 

Other information may be placed on a second (or lower) layer. Of course, this does not change the fact that you must offer all information in a distinct manner.

In uw cookiebanner moet bepaalde informatie direct zichtbaar zijn. Het moet duidelijk zijn wie de persoonsgegevens verwerkt én met welk(e) doel(en). Die informatie zet u dus op de ‘eerste laag’ van uw cookiebanner. Op die manier weet uw websitebezoeker waarvoor de toestemming bedoeld is. 

Overige informatie mag op een tweede (of latere) laag komen te staan. Dit neemt natuurlijk niet weg dat u alle informatie op een duidelijke manier moet aanbieden.

Nee, meestal is toestemming geen geldige grondslag voor bestuursorganen om persoonsgegevens van burgers te verwerken. Toch kunt u als uitkeringsinstantie in een situatie komen waarin het vragen van toestemming wenselijk is: u wilt ervoor zorgen dat mensen in een kwetsbare positie hulp krijgen van andere organisaties. In die situatie kan er soms toch sprake zijn van geldige toestemming bij een bestuursorgaan.
 

Do you use a cookie banner for asking consent for processing the personal data of your website visitors? Do not forget that your website visitors must also be able to withdraw their consent. 

Withdrawing consent must be possible at any time. It must be just as easy as giving consent. You are not allowed to require a user to pay money for this. In addition, the withdrawal of consent should not have any negative consequences for your website visitors. 

You must give your website visitors information about how they can withdraw consent before they give it. This can be achieved by including a brief explanation in the cookie banner, with a button or a link. Make sure that there is always another way in which people can easily find the place where they can withdraw their consent. 

Does it (also) concern consent for the processing of personal data by third parties? Then you also have to inform these third parties that someone has withdrawn the consent. 

Also read the Dutch DPA's standard explanation about withdrawing consent with cookie banners (in Dutch).

Vraagt u met een cookiebanner toestemming om de persoonsgegevens van uw websitebezoekers te verwerken? Vergeet dan niet dat uw websitebezoekers hun toestemming ook weer moeten kunnen intrekken. 

Toestemming intrekken moet op ieder moment kunnen. Het moet net zo gemakkelijk zijn als toestemming geven. U mag er geen kosten voor rekenen. Toestemming intrekken mag bovendien geen nadelige gevolgen hebben voor uw websitebezoekers. 

U moet uw websitebezoekers informatie geven over hoe zij toestemming kunnen intrekken voordat zij toestemming geven. Bijvoorbeeld door in de cookiebanner een korte uitleg op te nemen, met een knop of link. Zorg ervoor dat mensen ook op een andere manier altijd gemakkelijk de plek kunnen vinden waar zij hun toestemming kunnen intrekken. 

Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken. 

Lees ook de normuitleg van de AP over intrekken van toestemming bij cookiebanners.

Nee, meestal mag de overheid dat niet. De overheid is bijvoorbeeld uw gemeente of het UWV. Als een organisatie u om toestemming vraagt, moet u ook ‘nee’ kunnen zeggen. En dat kan lastig zijn bij de overheid. Want vaak heeft u iets nodig van de overheid. Bijvoorbeeld een voorziening, zoals een traplift. Of een uitkering. U bent dus afhankelijk van de overheid.

Meestal is het ook niet nodig dat de overheid u om toestemming vraagt om uw gegevens te gebruiken of delen. Omdat vaak al in een wet staat dat de overheid dat mag.

Soms staat er niks in een wet. Maar wil een organisatie van de overheid toch uw gegevens delen. Omdat blijkt dat u hulp nodig heeft. De organisatie wil dan uw gegevens doorgeven aan andere organisaties, waar u die hulp kunt krijgen. Organisaties die u zelf niet goed weet te vinden.

Dan kan het zijn toegestaan. De organisatie moet u dan wel goed uitleggen:

• welke gegevens van u de organisatie deelt;
• waarom dat is (voor welk doel);
• hoe dat in zijn werk gaat.

U moet ook even de tijd krijgen om te beslissen of u hiervoor toestemming geeft. En u mag natuurlijk altijd weigeren.

Wilt u meer weten? Lees dan Toestemming bij de overheid.

Ja, dat mag. Uw bank moet als u klant wordt uw identiteitsbewijs (ID) controleren om te kijken of u wel echt bent wie u zegt te zijn (identificatie). En soms moet dit opnieuw als u al klant bent (heridentificatie). Uw bank mag daarbij een kopie ID maken of vragen om te bewijzen dat uw identiteit is gecontroleerd.

U mag geen gegevens afschermen

U mag zelf geen gegevens afschermen op de kopie ID. En ook geen watermerk aanbrengen. Want anders kan de bank de echtheid van uw ID niet controleren. Uw bank kan na de (her)identificatie wel gegevens afschermen op de kopie ID of een watermerk erin aanbrengen om uw persoonsgegevens te beveiligen.

Meer informatie

Lees de uitgebreide uitleg: Identificatie bij uw bank.

Iedereen kan een melding doen. Wilt u een klacht indienen? Dan kunt u ook iemand anders machtigen om dat voor u te doen. 

Tip geven

Wilt u uw persoonsgegevens niet achterlaten bij uw melding? Of gaat uw privacyklacht niet over een verwerking van uw eigen persoonsgegevens? Dan kunt u alleen een tip indienen.

Klacht indienen

Meldt u een privacyklacht over een verwerking van uw eigen persoonsgegevens? Dan kunt u deze klacht zelf indienen.

Maar u kunt ook iemand machtigen om de klacht namens u in te dienen. Zoals een advocaat of een Juridisch Loket. Ook een belangenorganisatie kan namens u een klacht indienen.

Nee. Als u een privacyklacht indient, dan vragen we om uw persoonlijke gegevens. Omdat de AP onderzoek doet naar een privacyschending in uw persoonlijke situatie, maakt de AP uw identiteit bekend aan de organisatie of persoon waarover uw klacht gaat. Bij een klacht houdt de AP u ook op de hoogte van de behandeling hiervan.

Wilt u uw gegevens niet delen? Dan kunt u een tip indienen. 

Dient u een tip in? U krijgt dan geen reactie van ons. Maar we beoordelen iedere tip. 

Dient u een klacht in? Dan informeren we u in ieder geval 3 maanden na het indienen van uw klacht over de voortgang. Kunnen wij binnen 3 maanden nog geen resultaat melden? Dan ontvangt u uiterlijk binnen 6 maanden na dit bericht opnieuw een brief. Daarin informeren wij u over het resultaat of de voortgang van de behandeling van uw klacht.

Zie ook: Behandeling van klachten door de AP.

Ja, dat kan. Vermeld in uw brief:

• over welke persoonsgegevens het gaat;
• over welke organisatie het gaat;
• of u al een klacht heeft ingediend bij de organisatie waarover uw privacyklacht gaat;
• hoe de organisatie reageerde op uw klacht;
• of (het negatieve gevolg van) de verwerking van uw gegevens nog plaatsvindt; 
• wat u met de privacyklacht wilt bereiken;
• uw naam, adres en telefoonnummer.

Let op: wilt u een handgeschreven privacyklacht indienen? Zorg dat deze goed leesbaar is.

Stuur uw brief naar:

Autoriteit Persoonsgegevens
Postbus 93374
2509 AJ Den Haag.

U kunt een privacyklacht indienen in het Nederlands of het Engels.

Contact met de AP

Heeft u moeite met lezen of schrijven? Neem dan contact op met onze medewerkers.

In het meldformulier voor datalekken wordt u gevraagd om aan te geven hoeveel gegevensrecords (gegevensregisters) zijn getroffen door de inbreuk. Een gegevensrecord is een vastlegging van informatie over een bepaald persoon. Een gegevensrecord kan meerdere (categorieën van) persoonsgegevens bevatten.

Is een gegevensrecord onderdeel van een tabel? Dan wordt met de term 'gegevensrecord' meestal een regel bedoeld in een lijst. Bijvoorbeeld een regel in een Excel-bestand: 1 regel in de lijst is dan 1 gegevensrecord.

Voorbeelden van gegevensrecords

• Een aankoop bij een webwinkel is 1 gegevensrecord. Dit gegevensrecord kan onder meer bestaan uit: besteld(e) product(en), aankoopbedrag, moment van bestelling, NAW-gegevens, e-mailadres en eventuele andere gegevens over de aankoop. Doet een klant op verschillende momenten een aankoop bij een webwinkel? Dan legt de webwinkel elke aankoop in een apart gegevensrecord vast. Een webwinkel kan dus meerdere gegevensrecords over dezelfde klant hebben. 
• Een kopie van een paspoort is 1 gegevensrecord. Daarop staan naast naam en geboortedatum ook andere persoonsgegevens, zoals iemands paspoortnummer.
• Gebruikt een ziekenhuis logfiles (logbestanden) om vast te leggen wie wanneer inzage heeft gehad in een medisch dossier? Dan is elke log 1 gegevensrecord.
• Gebruikt een webwinkel logfiles om vast te leggen wie wanneer een product heeft toegevoegd aan een winkelmandje? Dan is elke logregel 1 gegevensrecord.