Veiligheid en AVG beheer automatisering

Toestemming vragen en opslaan in een geautomatiseerd klantsysteem

Pieter van Dijk Pieter van Dijk
· · 6 min leestijd

Stel: je hebt een mooi klantsysteem. Alles loopt automatisch. Maar wacht — heb je ook écht toestemming van je klanten om hun gegevens te gebruiken?

Inhoudsopgave
  1. Waarom toestemming zo belangrijk is onder de AVG
  2. Wat is geldige toestemming volgens de AVG?
  3. Hoe sla je toestemming op in een geautomatiseerd systeem?
  4. Veelgemaakte fouten — en hoe je ze voorkomt
  5. Concreet stappenplan: zo pak je het aan

Want zonder geldige toestemming draait alles op niets. En dat kan je duur komen te staan.

In dit artikel lees je precies hoe je toestemming op de juiste manier vraagt, opslaat en beheert in een geautomatiseerd systeem. Geen droge juridische taal, maar gewoon helder uitgelegd — met concrete tips die je vandaag nog kunt toepassen.

Waarom toestemming zo belangrijk is onder de AVG

De Algemene Verordening Gegevensbescherming — beter bekend als de AVG — is al sinds 2018 van kracht. En één van de kernpunten is simpel: je mag alleen persoonsgegevens verwerken als je daar een geldige grondslag voor hebt.

Toestemming is daar één van. Maar hier schuilt een addertje onder het gras.

Niet zomaar een vinkje op een website is genoeg. De AVG stelt strenge eisen aan hoe toestemming wordt gegeven. Als je die niet nakomt, is je toestemming niet geldig.

En dan mag je die gegevens helemaal niet verwerken. Klinkt logisch? Toch zien we het nog te vaak foutgaan.

De boetes ook niet onbesproken: overtredingen van de AVG kunnen oplopen tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet — afhankelijk van wat het hoogste is. Dus ja, hier wil je het echt goed mee doen.

Wat is geldige toestemming volgens de AVG?

De Autoriteit Persoonsgegevens is duidelijk: toestemming moet voldoen aan een aantal harde eisen.

1. Vrijwillig

Laten we die even doorlopen, want dit is waar veel systemen op stranden. Je mag iemand niet dwingen om toestemming te geven. Dat betekent geen voorwaardelijke toestemming — bijvoorbeeld “je kunt onze service alleen gebruiken als je akkoord gaat met alles.” Dat is niet vrijwillig en dus niet geldig. Een klant moet echt de keuze hebben om ja of nee te zeggen zonder negatieve gevolgen.

2. Specifiek

Een brede, vage toestemming als “ik ga akkoord met de verwerking van mijn gegevens” volstaat niet. Je moet duidelijk aangeven waarvoor je toestemming vraagt. Marketingmailings? Apart vinkje. Delen met derden?

3. Onderbouwd en ondubbelzinnig

Nog een apart vinkje. Hoe specifieker, hoe beter.

De persoon moet een duidelijke handeling verrichten om toestemming te geven. Denk aan het aanvinken van een vinkje, het klikken op een knop of het ondertekenen van een formulier. Stilzwijgende toestemming — zoals een al aangevinkt vinkje — telt niet.

4. Informatie vooraf

Dat is sinds de uitspraak over Planet49 door het Europees Hof in 2019 uitdrukkelijk verboden. Voordat iemand toestemming geeft, moet hij of zij goed geïnformeerd zijn.

Dat betekent: wie ben je, waarvoor wil je de gegevens gebruiken, hoe lang bewaar je ze, en heeft de persoon het recht om toestemming in te trekken? Dit staat ook wel bekend als het transparantiebeginsel. Iedereen mag op elk moment zijn of haar toestemming weer intrekken.

5. Eenvoudig intrekbaar

En dat moet minstens zo eenvoudig zijn als het geven van die toestemming.

Dus geen verborgen menu's of ingewikkelde procedures. Een simpele “uitschrijven”-link in een e-mail is een voorbeeld van hoe het wél moet.

Hoe sla je toestemming op in een geautomatiseerd systeem?

Nu komen we bij de kern van het verhaal. Je wilt natuurlijk dat je systeem niet alleen toestemming vraagt, maar ook betrouwbaar opslaat.

Wat moet je precies opslaan?

Want als de Autoriteit Persoonsgegevens langskomt, moet je kunnen aantonen dat je geldige toestemming hebt. Dat heet accountability: je bent verantwoordelijk en moet dat kunnen bewijzen. Je systeem moet ten minste het volgende registreren:

  • Wie heeft toestemming gegeven? (naam, e-mailadres of klantnummer)
  • Wanneer is toestemming gegeven? (datum en tijdstip)
  • Waar is toestemming voor gegeven? (specifieke doeleinden)
  • Hoe is toestemming gegeven? (welk formulier, welke versie van de voorwaarden)
  • Wat was de informatie op dat moment? (de exacte tekst van je toestemmingsverklaring)

Laat dat laatste punt even bezinken. Veel bedrijven passen hun privacyverklaring aan, maar vergeten welke versie gold op het moment dat een klant toestemming gaf.

Automatiseer het beheer van toestemming

Een goed systeem slaat automatisch de versie van de toestemmingsverklaring op die gold op dat specifieke moment.

  • Bij nieuwe aanmeldingen automatisch een toestemmingslogboek wordt aangemaakt
  • Bij het intrekken van toestemming automatisch een tag of status wordt bijgewerkt
  • Op basis van de toestemmingsstatus automatisch wordt bepaald of e-mails mogen worden verstuurd
  • Periodieke herinneringen worden gestuurd om toestemming te vernieuwen

Tools zoals OneTrust, Cookiebot of Complianz bieden hier standaard functionaliteiten voor. Een goed klantsysteem — of CRM-platform — koppelt toestemmingsstatus direct aan het klantdossier. Denk aan systemen zoals HubSpot, Salesforce of ActiveCampaign. Die kun je zo instellen dat:

Let op geautomatiseerde besluitvorming

Dat laatste is extra slim: je hoeft niet per se toestemming opnieuw te vragen, maar door regelmatig (bijvoorbeeld jaarlijks) te checken of iemand nog steeds akkoord gaat, verklein je het risico op verouderde toestemmingen in je systeem. Als je systeem niet alleen gegevens opslaat, maar ook automatische besluiten neemt op basis van persoonsgegevens — denk aan een automatische acceptatie of weigering van een offerte, of een algoritme dat kredietwaardigheid bepaalt — dan gelden extra regels.

De AVG (artikel 22) geeft personen het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming wanneer dat juridische gevolgen heeft of hen aanzienlijk raakt.

In de praktijk betekent dit: als je systeem automatisch besluiten neemt, moet je de betrokke persoon hierover informeren, moet er een menselijk oog op zitten, en moet de persoon de mogelijkheid hebben om tegen het besluit in te gaan. Hou dus goed in de gaten of jouw “geautomatiseerde” processen onder deze definitie vallen.

Veelgemaakte fouten — en hoe je ze voorkomt

We zijn er bijna. Maar voordat je aan de slag gaat, even een paar valkuilen die we nogal tegenkomen:

Fout 1: Pre-aangevinkte vinkjes

We noemden het al: een vinkje dat standaard aangevinkt is, is géén geldige toestemming.

Fout 2: Bundelen van toestemming

De gebruiker moet zelf actie ondernemen. Dus maak alle vinkjes standaard leeg. “Alles accepteren of helemaal niets” is geen optie.

Fout 3: Geen bewijsopslag

Je moet toestemming kunnen splitsen per doeleinde. Heb je drie doelen? Dan ook drie aparte mogelijkheden om toestemming te geven. Je vraagt netjes om toestemming, maar slaat niet op wanneer, waarvoor en onder welke voorwaarden.

Fout 4: Vergeten dat toestemming tijdelijk is

Als er een klacht binnenkomt, kun je niets bewijzen. Investeer in een systeem dat dit automatisch doet.

Toestemming is geen eenmalige actie. Mensen veranderen van mening. Zorg dat je systeem makkelijk toestemming kan bijwerken en intrekken — en dat je processen daarop reageren.

Concreet stappenplan: zo pak je het aan

Samenvattend, hier is een helder stappenplan om toestemming goed te vragen en op te slaan: De moeite waard? Absoluut.

  1. Breng in kaart welke persoonsgegevens je verwerkt en waarvoor.
  2. Ontwerp je toestemmingsmechanisme met aparte vinkjes per doeleinde, duidelijke taal en geen pre-aangevinkte opties.
  3. Zorg voor volledige informatie vóór het moment van toestemming: privacyverklaring, doeleinden, bewaartermijnen, rechten.
  4. Koppel je formulier aan een systeem dat automatisch datum, tijd, doeleinde en versie van de verklaring opslaat.
  5. Automatiseer het beheer: statusupdates bij intrekking, periodieke verificatie, koppeling aan je e-mailmarketing.
  6. Documenteer alles en zorg dat je op elk moment kunt aantonen dat je AVG-compliant werkt.

Want een systeem waar je — en je klanten — vertrouwen in hebben, is geen luxe. Het is basiswerk.

En als je het nu goed opzet, bespaar je jezelf een hoop stress, boetes en reputatieschade later. Dus: kijk vandaag nog even kritisch naar hoe jouw systeem omgaat met toestemming. Want het verschil tussen een goed systeem en een risico zit vaak in de details.

Lees ook
Hoe voldoet je no-code automatisering aan de AVG in Nederland Welke klantgegevens mag je automatisch verwerken en welke niet Hoe stel je toegangsbeheer in voor je no-code workflows in het MKB Wat gebeurt er met jouw data als een no-code platform stopt in 2026 Hoe maak je een verwerkingsregister voor je geautomatiseerde processen Datalekken voorkomen in een geautomatiseerde bedrijfsomgeving
Pieter van Dijk
Pieter van Dijk
Senior IT-consultant en software architect

Pieter is een ervaren IT-consultant met passie voor logische software oplossingen.

Meer over Veiligheid en AVG beheer automatisering

Bekijk alle 25 artikelen in deze categorie.

Naar categorie →
Lees volgende
Hoe voldoet je no-code automatisering aan de AVG in Nederland
Lees verder →