De AVG vereist dat organisaties een rechtsgrond hebben voor het verwerken van gegevens. Toestemming is er daar een van. Die moet volgens de AVG uitdrukkelijk en vrijelijk worden gegeven. Dat betekent dat het mechanisme voor het verkrijgen van toestemming ondubbelzinnig moet zijn en een duidelijke bevestigende handeling moet inhouden.
Vragen om toestemming is niet nodig als je gegevens verwerkt als kernactiviteit of hiertoe wettelijk verplicht bent. Je moet om toestemming vragen wanneer je een niet essentiële dienst aanbiedt en daarbij gegevens verwerkt, zoals het sturen van marketing-e-mails en nieuwsbrieven.
Je vindt hier een overzicht van de belangrijkste dingen die je moet weten over e-mailtoestemming krachtens de AVG – met tal van templates en voorbeelden van hoe je ze in praktijk kunt brengen.
Gebruik geen ingewikkelde bewoordingen bij het uitleggen van redenen voor toestemming: geef in “gewone taal” aan waarom je de gegevens wilt hebben en wat je ermee gaat doen. Vergeet ook niet om duidelijk de naam van je organisatie en eventuele derden te noemen, die toestemming van de gebruiker nodig hebben.
Vraag gebruikers om zich actief aan te melden, want onder de AVG zijn vooraf aangevinkte selectievakjes (of een andere manier waarbij toestemming de standaard is) niet toegestaan.
Hoewel dit niet wordt vereist door de AVG, is de veiligste manier om een mailinglijst op te zetten de dubbele opt-in. Dat proces omvat twee stappen:
Deze inschrijvingsmethode wordt als best practice beschouwd in veel landen, waaronder landen in de EU en met name Duitsland.
Probeer onze Newsletter Opt-in Booster 👉 deze voegt een aanpasbaar aanmeldformulier toe aan je site, waarmee je toestemming kunt verzamelen en beheren door middel van een dubbel opt-in-proces voor een meer betrokken en responsieve doelgroep.
Meteen activerenSelectievakjes zijn nodig wanneer je AVG-toestemming probeert te krijgen voor afzonderlijke dingen, maar niet wanneer het doel van het aanmeldingsmechanisme ondubbelzinnig is.
Als je site een pop-upvenster heeft dat gebruikers uitnodigt om zich aan te melden voor je nieuwsbrief met een duidelijke zin, bv.: “Abonneer je op onze nieuwsbrief en ontvang kortingsbonnen en productupdates!“, wordt de bevestigende handeling die de gebruikers uitvoeren door hun e-mailadres in te voeren, als geldige toestemming beschouwd.
Kort gezegd kan een soft opt-in optreden wanneer je gebruikers hun e-mailadres hebben opgegeven bij de aankoop van een product of dienst.
In sommige jurisdicties kun je de zo verkregen gegevens gebruiken om toekomstige promotionele e-mails te verzenden zonder voorafgaande toestemming als:
Houd er rekening mee dat deze uitzondering niet van toepassing is als de gebruiker zich eerder heeft afgemeld (en er dus sprake is van een opt-out) bijvoorbeeld door zich uit te schrijven van je nieuwsbrief.
Volgens de AVG moet e-mailtoestemming gescheiden zijn.
Bundel toestemming bijvoorbeeld nooit met je algemene voorwaarden. Akkoord gaan met algemene voorwaarden en toestemming geven voor verschillende activiteiten (zoals het inschrijven op een nieuwsbrief), zijn niet hetzelfde. Maak ze gemakkelijk van elkaar te onderscheiden en bied individuele opt-ins voor toestemming.
Je klanten moeten met je formulieren met verschillende verwerkingen kunnen instemmen. Help je gebruikers met een volledige controle over hun toestemmingen door een overzicht te maken van elke activiteit die je aanbiedt.
Gebruikers hebben het recht om hun toestemming op elk moment in te trekken, en je moet ze duidelijk vertellen waar en hoe ze dit zonder nadelige gevolgen kunnen doen. Je mag de toegang tot een dienst dus niet afhankelijk stellen van toestemming.
Voeg een optie toe waarmee gebruikers zich kunnen afmelden voor het ontvangen van e-mails, bijvoorbeeld in de voettekst van elke promotionele e-mail die je stuurt. Gebruikers moeten liefst ook de mogelijkheid hebben om hun e-mailvoorkeuren vanuit hun account te beheren.
Een toestemmingsherinnering is een korte alinea in een e-mail (meestal in de voettekst) die ontvangers helpt te onthouden hoe je aan hun e-mailadres bent gekomen. Het kan spamklachten en uitschrijfverzoeken helpen verminderen.
In een goed toestemmingsbericht staat bijvoorbeeld: “U ontvangt deze e-mail omdat u klant bij ons bent, of u zich hebt aangemeld via ons formulier [source]”.
De AVG bepaalt niet alleen de regels voor het verkrijgen van toestemming, maar vereist ook dat bedrijven deze toestemmingen documenteren. Dit betekent dat je moet kunnen aantonen:
Onze Consent Solution vereenvoudigt het proces om formulieren te maken die voldoen aan de AVG door je te helpen:
Met onze Consent Solution kun je elke individuele abonnee bekijken, en zien wanneer ze zich hebben aangemeld en in welke vorm ze dit hebben gedaan.
Compliance solutions for websites, apps and organizations: collect GDPR consent, document opt-ins and CCPA opt-outs via your web forms.