De Nedersaksische staatscommissaris voor gegevensbescherming heeft nieuwe richtlijnen en instructies gepubliceerd over hoe een conforme toestemmingslaag eruit moet zien. De belangrijkste informatie is hier samengevat.
Veel tools voor toestemming niet-compatibel
Ten eerste komt de LDF tot het besef dat veel AVG-tools toch niet AVG-compatibel zijn. Het gebruik van een tool voor toestemmingsbeheer stelt de website meestal in staat om conform te worden, maar het is aan de websitebeheerder om de tool correct te configureren.
Praktische tip: De standaardinstellingen voor consentmanager zijn al ingesteld op de aanbevolen waarden. Als je niet zeker weet hoe je onze tool moet instellen, gebruik dan gewoon de standaardinstellingen.
Geen gegevensverwerking voorafgaand aan toestemming
De LDF maakt ook nog eens duidelijk dat gegevensverwerking, dus het plaatsen van cookies en het oproepen van derde aanbieders, alleen mag plaatsvinden als er toestemming is gegeven.
Praktische tip: gebruik onze Cookie Crawler-conformiteitstest om te bepalen dat er geen cookies worden geplaatst zonder toestemming.
Informatie in de toestemmingslaag
Daarnaast maakt het LDF nog eens duidelijk welke informatie in een toestemmingslaag thuishoort om compliant toestemming te verkrijgen. Dit zijn met name:
- identiteit van de verantwoordelijke,
- verwerkingsdoeleinden,
- de verwerkte gegevens,
- de bedoeling van een uitsluitend geautomatiseerde beslissing (Art. 22 Para. 2 lit. c) en
- het voornemen om gegevens door te geven aan derde landen (Art. 49 lid 1 zin 1 lit. a)
Ook wordt duidelijk gemaakt dat de doeleinden specifiek moeten zijn. Bewoordingen als “het verbeteren van de surfervaring” of “marketing, analyse en personalisatie” zijn niet voldoende.
Hetzelfde geldt voor het specificeren van de partners: het is niet voldoende om te zeggen dat “partners” de gegevens zullen verwerken – alle partners moeten ook afzonderlijk worden genoemd.
Praktische tip: De consentmanager levert de meeste benodigde gegevens al aan, maar controleer of de doelen voldoende specifiek voor uw toepassingsgebieden benoemd zijn.
Ondubbelzinnige toestemming en nudging
Tot slot maakt de LFD duidelijk dat een knop duidelijk verstaanbaar en duidelijk gelabeld moet zijn. Een “Oké”-knop is hier niet voldoende en “Alles accepteren” kan ook te onduidelijk zijn (als de tekst niet voldoende beschrijft wat wordt geaccepteerd).
Tegelijkertijd maakt de LFD duidelijk dat de zogenaamde “PUR-modellen” (reclame accepteren of een abonnement afsluiten) compliant kunnen zijn.
De LFD gaat ook in detail in dat zogenaamde nudging of donkere patronen niet zijn toegestaan. Het punt is dat de gebruiker bewust of onbewust wordt gepusht om een beslissing te nemen en daarmee “vrije keuze” wordt ondermijnd. Dit is al het geval als bijvoorbeeld de afkeurknop anders (minder opvallend) is vormgegeven of afwijzing alleen mogelijk is door op “Instellingen” of iets dergelijks te klikken.
Praktische tip: Gebruik altijd twee knoppen (accepteren en weigeren) en formuleer ze duidelijk.
Het volledige rapport van de LFD Nedersaksen vindt u hier .
