Gebruikt u foto’s van uw werknemers of klanten voor uw bedrijfssite of voor nieuwsbrieven? Dan moet u volgens de AVG expliciet toestemming krijgen.  Aan welke voorwaarden moet die toestemming voldoen?

Toestemming speelt een belangrijke rol in de Algemene Verordening Gegevensbescherming (AVG). Deze wet, die per 25 mei 2018 is ingegaan, stelt verschillende eisen aan het gebruik van (uitdrukkelijke) toestemming. Een voorbeeld van een vereiste is dat uw organisatie moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens (wie, wanneer, op welke wijze). Er kunnen zowel technische als organisatorische aanpassingen vereist zijn om dit aantoonbaar te maken.
 

VOORWAARDEN TOESTEMMING

Indien toestemming van de betrokkene wordt gevraagd, moet aan de volgende voorwaarden worden voldaan:

  • Vooraf wordt vastgesteld of toestemming de juiste wettelijke basis voor de gegevensverwerking is

  • De toestemming dient op een duidelijke manier verkregen te worden, er wordt een positieve actie aan de betrokkene gevraagd voor het geven van toestemming (de zogenaamde ‘opt-in’); men mag dus geen gebruik maken van vooraf aangevinkte vakjes (de zogenaamde default-instelling)

  • Indien de betrokkene jonger is dan 16 jaar, is toestemming van een wettelijke vertegenwoordiger, zoals ouders noodzakelijk

  • Er moet een privacyverklaring of privacybeleid zijn, waarin alle relevante informatie ten behoeve van de gegevensverwerking wordt gegeven

  • Indien op hetzelfde moment toestemming wordt gevraagd voor verschillende doeleinden, wordt er voor elk doeleinde afzonderlijk toestemming gevraagd (bijvoorbeeld bij diverse vormen van cookies op websites)

  • Gewaarborgd wordt dat betrokkenen weten dat zij kunnen weigeren om toestemming te geven zonder dat dit negatieve gevolgen voor hen heeft. Het mag ook geen voorwaarde zijn voor een bepaalde dienst. Dit kan bijvoorbeeld aan de orde zijn in arbeidsrelaties ten aanzien van uw werknemers.

Deze voorwaarden gelden voor alle verwerkingen die plaatsvinden op basis van de grondslag toestemming.
 

INTREKKEN TOESTEMMING

Een betrokkene kan op ieder moment besluiten zijn of haar toestemming voor het gebruik van persoonsgegevens in te trekken. Dit dient mogelijk te zijn op dezelfde eenvoudige wijze als dat de toestemming is verkregen. Intrekking van toestemming maakt eerdere verwerking van persoonsgegevens niet ongedaan. Toestemming kan dus niet met terugwerkende kracht worden ingetrokken.

De verwerkingsactiviteiten op basis van deze toestemming dienen dan gestaakt te worden (zo ook bij mogelijke (sub)verwerkers, zoals wanneer u uw salarisadministratie hebt uitbesteed). De betreffende persoonsgegevens dienen dan, indien ze niet voor een ander verwerkingsdoel nodig zijn, verwijderd te worden.
 

GEBRUIK FOTO’S

Foto’s waarop individuen identificeerbaar zijn, vormen ook persoonsgegevens. Uitgangspunt is dat voor het gebruiken van foto’s een wettelijke grondslag aanwezig moet zijn. In de meeste gevallen moet een betrokkene zijn toestemming geven voor het gebruiken van zijn foto. Dit betekent dat de hierboven beschreven voorwaarden met betrekking tot toestemming onverkort gelden. Het is goed u hier als bedrijf bewust van te zijn bij het gebruik van foto’s van bijvoorbeeld werknemers of klanten.
 

NIEUWSBRIEF

Het handigste is als uw organisatie bijvoorbeeld in een procedure voor werknemers beschrijft dat het mogelijk is dat er bij verschillende gelegenheden foto’s gemaakt worden. Deze foto’s kunnen gebruikt worden voor de doeleinden, zoals de website van het bedrijf, een nieuwsbrief of voor andere media. Op basis van de procedure vraagt u vervolgens expliciet toestemming aan uw werknemers voor het kunnen gebruiken van foto’s en registreert u dit (zie de eerder beschreven voorwaarden). Ook voor losse evenementen die u organiseert, kunt u het voor bijvoorbeeld uw klanten of gasten op deze wijze regelen.
 

GEBRUIK FOTO’S VAN ANDERE WEBSITES

Het gebruiken van foto’s of andere persoonsgegevens van andere websites voor een eigen bedrijfspublicatie op internet is in principe niet toegestaan. Dat deze gegevens al op internet staan, betekent niet dat uw bedrijf ze ook mag gebruiken. De gegevens worden dan namelijk in een andere context en voor een ander doel gebruikt. Hiervoor zult u ook expliciet toestemming moeten verkrijgen. Er geldt een uitzondering voor huishoudelijk/persoonlijk gebruik, dan is de namelijk AVG niet van toepassing. Voorwaarde is dan echter wel dat u de gegevens privé publiceert en dat deze alleen voor een beperkte kring mensen zichtbaar zijn.
 

FOTO’S KINDEREN

Bij kinderen onder de leeftijd van 16 jaar geldt dat de ouders of wettelijke vertegenwoordigers toestemming moeten geven voor het plaatsen van foto’s of andere persoonsgegevens, bijvoorbeeld op social media of (bedrijfs)websites. De gebruiker moet aan kunnen tonen dat de betreffende toestemming is verkregen.

Neem contact op

*
*
*
*
*

Lees meer over de AVG

Inzage personeelsdossier voor werknemer

Werknemers hebben op grond van de AVG het recht om hun persoonsgegevens in te zien. Hoe moet u hieraan meewerken? Welke gegevens moet u verplicht laten zien?

Voldoe in 5 stappen aan de AVG

Bedrijven en organisaties die werken met persoonsgegevens moeten rekening houden met de AVG (ook kleine mkb’ers en zzp’ers). In 5 stappen bent u AVG-proof.

Hoe beveilig ik mijn persoonsgegevens?

U moet volgens de strengere privacywet AVG uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan?

Wat is een persoonsgegeven?

Wat is een persoonsgegeven en wat niet? En welke categorieën van persoonsgegevens zijn te onderscheiden? Dit is belangrijk om te kunnen weten of de privacywet AVG wel of niet van toepassing is.

Persoonsgegevens bewaren

Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de gegevens vernietigen.

Register van verwerkingen

De belangrijkste eis in de AVG is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.

Kleine ondernemer niet meteen beboet

Kleine ondernemers en organisaties hoeven niet bang te zijn dat ze direct beboet worden als ze nog niet volledig voldoen aan de AVG.

Omgaan met incidenten en datalekken

De AVG schrijft voor dat uw organisatie inbreuken in verband met de verwerking van persoonsgegevens (datalekken) moet melden. Waaraan moet u precies voldoen?

AVG-regels als uw werknemer vertrekt

Gaat uw werknemer (die beschikt over belangrijke persoons- en privacygevoelige gegevens) het bedrijf verlaten? Neem dan maatregelen en maak goede afspraken met uw (ex-)werknemer.

Verwerkersovereenkomst

U mag voor de verwerking van persoonsgegevens uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen.

Datalekken, wat leren we ervan?

In 2018 zijn er 20.881 datalekken aan de Autoriteit Persoonsgegevens gemeld. Wat kunnen we hiervan leren?