Toestemming onder de AVG is geldig wanneer zij vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven — de vier vereisten uit artikel 7 en artikel 4 lid 11 AVG. Dat betekent in de praktijk: een duidelijke, actieve handeling (een aangevinkt vakje dat de gebruiker zelf aanzet, geen voorgevinkt hokje), losgekoppeld van andere voorwaarden, per doel apart gevraagd, en op basis van begrijpelijke informatie over wie wat waarvoor verwerkt. Toestemming moet bovendien even makkelijk in te trekken zijn als te geven. Toestemming is slechts één van de zes rechtsgronden; gebruik haar alleen waar geen andere grondslag past. Hieronder de vereisten met concrete voorbeelden van goede en foute formuleringen.
Toestemming is de meest misbruikte grondslag: organisaties vragen haar waar ze niet nodig is, of vragen haar op een manier die niet geldig is. Deze gids helpt het verschil te zien.
De vier vereisten van geldige toestemming
| Vereiste | Wat het betekent | Veelgemaakte fout |
|---|---|---|
| Vrij | Echte keuze, geen nadeel bij weigering | Toestemming koppelen aan een dienst (“geen toestemming = geen toegang”) |
| Specifiek | Per doel apart | Eén vinkje voor marketing, analytics én delen met derden |
| Geïnformeerd | Vooraf duidelijk wie, wat, waarvoor | Verwijzen naar een vage, lange privacyverklaring |
| Ondubbelzinnig | Actieve, duidelijke handeling | Voorgevinkt vakje of stilzwijgen |
Ontbreekt één van deze vier, dan is de toestemming ongeldig — en daarmee de hele verwerking onrechtmatig.
Voorbeelden: goede versus foute formuleringen
Nieuwsbrief (marketing):
- Goed: “☐ Ja, ik wil de maandelijkse nieuwsbrief van Voorbeeld BV ontvangen met aanbiedingen en productnieuws. U kunt zich altijd afmelden via de link onderaan elke e-mail.” (leeg vakje, specifiek, informatie over intrekking)
- Fout: “☑ Houd mij op de hoogte” (voorgevinkt, vaag, niet specifiek).
Meerdere doelen:
- Goed: aparte vinkjes voor “nieuwsbrief”, “analyse van mijn gebruik” en “delen met partners”.
- Fout: één vinkje “Ik ga akkoord met het privacybeleid en marketing” (bundeling van doelen).
Bijzondere gegevens (bijvoorbeeld gezondheid):
- Goed: uitdrukkelijke toestemming met expliciete vermelding van het soort gegevens en het doel (art. 9 lid 2 sub a).
- Fout: impliciete toestemming afleiden uit het gebruik van een dienst.
Toestemming voor cookies
Voor het plaatsen van niet-noodzakelijke cookies en trackers geldt naast de AVG ook de Telecommunicatiewet. De AP en de Europese richtsnoeren zijn hier streng: een cookiebanner moet een echte keuze bieden, weigeren moet net zo makkelijk zijn als accepteren, en er mag geen tracking plaatsvinden vóór toestemming. Een “cookiewall” die toegang volledig blokkeert bij weigering, is doorgaans niet toegestaan omdat de toestemming dan niet vrij is. Zie onze aparte gids AVG en toestemming voor cookies.
Het recht op intrekking
Artikel 7 lid 3 bepaalt dat een betrokkene de toestemming te allen tijde kan intrekken, en dat intrekken even eenvoudig moet zijn als geven. Praktisch:
- Een afmeldlink in elke marketing-e-mail.
- Een duidelijke instelling in het account om voorkeuren te wijzigen.
- Na intrekking stopt de verwerking; eerder rechtmatige verwerking blijft geldig.
Let op de samenhang met bewaartermijnen: na intrekking vervalt de grondslag, dus verwijdert u de gegevens tenzij een andere grondslag of wettelijke plicht bewaring rechtvaardigt.
Bewijslast: u moet de toestemming kunnen aantonen
Artikel 7 lid 1 legt de bewijslast bij u: u moet kunnen aantonen dat de betrokkene geldig toestemming heeft gegeven. Leg daarom vast wie toestemming gaf, wanneer, voor welk doel en op basis van welke tekst. Een consent management-oplossing of een tool zoals Legiscope helpt die bewijsvoering te structureren en aan het verwerkingsregister te koppelen. Zonder registratie is toestemming juridisch waardeloos, hoe netjes het vinkje ook was.
Toestemming van kinderen
De AVG stelt voor diensten van de informatiemaatschappij die rechtstreeks aan kinderen worden aangeboden een leeftijdsgrens. Nederland heeft die grens in de Uitvoeringswet AVG op 16 jaar gelegd: onder die leeftijd is toestemming van de ouder of voogd vereist. Richt uw dienst zich op minderjarigen, dan moet u een redelijke inspanning leveren om die toestemming te verifiëren.
Toestemming versus gerechtvaardigd belang
De vaakst gemaakte fout is toestemming vragen waar een andere grondslag beter past. Toestemming is zwak: de betrokkene kan haar altijd intrekken, en dan vervalt de grondslag. Voor veel verwerkingen is een van de andere vijf rechtsgronden sterker en juister. Voorbeelden:
- Direct marketing aan bestaande klanten kan vaak op gerechtvaardigd belang (art. 6.1.f) in plaats van toestemming — mits u een afmeldmogelijkheid biedt.
- Uitvoering van een overeenkomst (art. 6.1.b) is de grond voor gegevens die u nodig heeft om te leveren; daar hoeft u geen toestemming voor te vragen.
- Een wettelijke plicht (art. 6.1.c) dekt bijvoorbeeld de fiscale administratie.
Vraag toestemming dus bewust en beperkt: voor niet-noodzakelijke cookies, voor marketing aan niet-klanten, en voor de verwerking van bijzondere gegevens. Toestemming vragen “voor de zekerheid” is riskant, want een ingetrokken toestemming laat u dan zonder grondslag staan.
De gevolgen van ongeldige toestemming
Ongeldige toestemming maakt de hele verwerking onrechtmatig — er is dan simpelweg geen grondslag. Dat is geen theoretisch risico. Bij cookies en trackers toetst de AP actief of banners een echte, vrije keuze bieden, en de Europese toezichthouders hebben herhaaldelijk cookiewalls en misleidende bannerontwerpen (“dark patterns”) afgekeurd. Een verwerking die op ongeldige toestemming rust, kan bovendien niet zomaar op een andere grondslag worden “gered”: u mag niet achteraf van toestemming overstappen op gerechtvaardigd belang om een handhavingsprobleem te repareren. De les: kies de grondslag zorgvuldig vooraf, en als u toestemming kiest, zorg dan dat zij aan alle vier de vereisten voldoet en aantoonbaar is vastgelegd.
Handhaving op ongeldige toestemming
De toezichthouders letten scherp op toestemming, vooral bij cookies en trackers. De Franse CNIL beboette Google en Amazon in december 2020 met respectievelijk 100 miljoen en 35 miljoen euro omdat trackingcookies zonder geldige voorafgaande toestemming werden geplaatst — een lijn die de AP en de overige Europese autoriteiten volgen. De rode draad in die zaken: toestemming die vóór een actieve handeling wordt afgeleid, of die via een “dark pattern” wordt afgedwongen, is ongeldig. Bouw uw bannerontwerp en formulieren daarom zo dat weigeren even zichtbaar en eenvoudig is als accepteren, met knoppen van gelijk gewicht. Het tegendeel — een prominente “Accepteer alles” naast een verstopte weigeroptie — is inmiddels een bekende en beboete overtreding.
Veelgestelde vragen
Wanneer heb ik toestemming nodig onder de AVG?
Alleen wanneer geen van de andere vijf rechtsgronden past. Voor een overeenkomst, een wettelijke plicht of een gerechtvaardigd belang gebruikt u die grondslag, niet toestemming. Toestemming is bijvoorbeeld wél de aangewezen grond voor marketing-e-mails aan niet-klanten en voor niet-noodzakelijke cookies.
Is een voorgevinkt vakje geldige toestemming?
Nee. Toestemming vereist een actieve, ondubbelzinnige handeling. Een voorgevinkt vakje, stilzwijgen of het enkele gebruik van een dienst zijn geen geldige toestemming — dat is vaste rechtspraak van het Hof van Justitie (arrest Planet49).
Mag ik toestemming koppelen aan mijn dienst?
Doorgaans niet. Toestemming moet vrij zijn: als weigeren betekent dat de gebruiker de dienst niet kan gebruiken terwijl de verwerking niet noodzakelijk is voor die dienst, is de toestemming niet vrij en dus ongeldig. Dit speelt met name bij cookiewalls en bij het bundelen van marketing met een dienst.
Hoe moet ik toestemming vastleggen?
Leg per betrokkene vast wie toestemming gaf, wanneer, voor welk doel en op basis van welke tekst. De bewaarplicht van dit bewijs volgt uit de bewijslast van artikel 7 lid 1. Een consent management-oplossing of compliancetool structureert deze registratie en koppelt haar aan uw register.
Conclusie
Geldige toestemming onder de AVG staat of valt met vier vereisten: vrij, specifiek, geïnformeerd en ondubbelzinnig. Gebruik toestemming alleen waar geen andere rechtsgrond past, vraag haar per doel apart met een actieve handeling, en maak intrekken net zo eenvoudig als geven. De voorbeelden hierboven laten zien hoe klein het verschil tussen geldig en ongeldig kan zijn — een voorgevinkt vakje of een gebundeld vinkje maakt de hele verwerking onrechtmatig. Leg de toestemming aantoonbaar vast en koppel haar aan uw register, zodat u bij een AP-controle niet alleen een net vinkje, maar ook het bewijs kunt tonen.
Zie ook: een model toestemmingsformulier.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial