Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Consent

Compliance

Toestemming. Eén van de peilers van het dataprotectierecht en privacyrecht. Data mogen niet verwerkt worden, tenzij de persoon waarover de data gaan, toestemming heeft gegeven. Deze toestemming is expliciet, geïnformeerd, vrijwillig en ondubbelzinnig.

Consent, ofwel toestemming, is in de context van cybersecurity en privacy de expliciete, vrijwillige en geinformeerde instemming van een persoon voor de verwerking van diens persoonsgegevens. Onder de Algemene Verordening Gegevensbescherming (AVG) is consent een van de zes wettelijke grondslagen waarop organisaties persoonsgegevens mogen verwerken. Het is de meest bekende grondslag, maar ook de strengste: de toestemming moet vrij, specifiek, geinformeerd en ondubbelzinnig zijn. Voor organisaties die met persoonsgegevens werken, is het correct verkrijgen en beheren van consent een fundamenteel onderdeel van hun compliance-strategie en informatiebeveiliging.

De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op de naleving van de AVG en heeft specifieke richtlijnen uitgevaardigd over hoe consent correct wordt verkregen. In mei 2025 hebben het Europees Parlement en de Raad nieuwe procedurele regels aangenomen voor de handhaving van de AVG, waardoor de eisen aan consent verder zijn aangescherpt. Voor cybersecurityprofessionals is consent relevant omdat het direct raakt aan dataverzameling, logging van gebruikersactiviteiten, het delen van informatie met derde partijen, en het gebruik van cookies en tracking-technologieen.

Voor wie geldt consent?

Consent als wettelijke grondslag geldt voor elke organisatie die persoonsgegevens verwerkt van personen in de Europese Unie, ongeacht waar de organisatie zelf is gevestigd. Dit omvat bedrijven, overheden, stichtingen en alle andere entiteiten die gegevens verzamelen, opslaan, analyseren of delen. In de praktijk is consent specifiek vereist wanneer andere grondslagen, zoals gerechtvaardigd belang of wettelijke verplichting, niet van toepassing zijn.

Bijzondere aandacht verdient consent bij kwetsbare groepen. Voor kinderen onder de 16 jaar geldt in Nederland dat een ouder of voogd toestemming moet geven voor de verwerking van hun persoonsgegevens. Bij werknemers wordt consent als grondslag doorgaans afgeraden, omdat de gezagsverhouding tussen werkgever en werknemer het lastig maakt om van "vrije" toestemming te spreken. In die gevallen is een andere grondslag zoals gerechtvaardigd belang of uitvoering van de arbeidsovereenkomst geschikter.

Voor cybersecuritydienstverleners is consent relevant bij het monitoren van netwerken, het loggen van gebruikersactiviteiten en het delen van threat intelligence met derde partijen. Wanneer je als security-dienstverlener persoonsgegevens verwerkt bij het uitvoeren van een penetratietest of security audit, moet duidelijk zijn op welke grondslag die verwerking plaatsvindt en of consent nodig is.

Wat zijn de vereisten van consent?

De AVG stelt vier kernvereisten aan geldige toestemming. Ten eerste moet consent vrij zijn gegeven: de betrokkene mag niet onder druk staan en het weigeren van toestemming mag geen negatieve consequenties hebben voor de toegang tot een dienst die niet afhankelijk is van de gegevensverwerking. Koppelverkoop, waarbij toestemming wordt afgedwongen als voorwaarde voor een dienst die de data niet nodig heeft, is niet toegestaan.

Ten tweede moet consent specifiek zijn: toestemming wordt gevraagd per verwerkingsdoel. Een enkele allesomvattende toestemming voor meerdere ongespecificeerde doeleinden is niet geldig. Als je gegevens wilt gebruiken voor zowel dienstverlening als marketing, zijn dat twee aparte toestemmingsverzoeken.

Ten derde moet de betrokkene geinformeerd zijn: je moet duidelijk en in begrijpelijke taal uitleggen welke gegevens je verzamelt, waarvoor je ze gebruikt, met wie je ze deelt, hoe lang je ze bewaart, en welke rechten de betrokkene heeft. Dit gebeurt doorgaans via een privacyverklaring.

Ten vierde moet consent ondubbelzinnig zijn: stilzwijgen, vooraf aangevinkte vakjes of inactiviteit gelden niet als toestemming. Er moet een actieve handeling zijn, zoals het aanvinken van een niet-vooraf ingevuld vakje, het klikken op een bevestigingsknop, of het mondeling bevestigen van toestemming. De verwerkingsverantwoordelijke moet bovendien kunnen aantonen dat toestemming is verkregen.

Het intrekken van consent moet net zo eenvoudig zijn als het geven ervan. Als je via een klik toestemming hebt gegeven, moet het intrekken ook met een klik mogelijk zijn, niet via een formulier dat je per post moet opsturen. Na intrekking moet de verwerking van persoonsgegevens op basis van die toestemming direct stoppen, hoewel de verwerking die voordien heeft plaatsgevonden, rechtmatig blijft.

Wat gebeurt er bij niet-naleving?

Schending van de consentvereisten onder de AVG kan leiden tot aanzienlijke sancties. De AP kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk zijn er al meerdere significante boetes opgelegd voor consentschendingen in Europa. De Franse toezichthouder CNIL legde Google een boete van 50 miljoen euro op voor het niet voldoende informeren van gebruikers bij het verkrijgen van consent voor gepersonaliseerde advertenties.

Naast financiele sancties kan het niet correct omgaan met consent leiden tot reputatieschade, verlies van klantvertrouwen en juridische procedures van betrokkenen die schadevergoeding eisen. Onder NIS2 worden de eisen aan databeveiliging verder aangescherpt, waarbij consent-beheer onderdeel is van de bredere compliance-verplichtingen.

Bestuurdersaansprakelijkheid speelt ook een rol: bestuurders kunnen persoonlijk aansprakelijk worden gesteld als blijkt dat de organisatie structureel tekortschiet in het naleven van de privacywetgeving. Dit maakt consent-compliance een bestuurszaak, niet alleen een taak voor de juridische afdeling of de Data Protection Officer.

Voor organisaties die cybersecuritydiensten aanbieden, speelt consent ook een rol bij het monitoren van systemen. Wanneer een Security Operations Center (SOC) netwerkverkeer monitort, kan het voorkomen dat persoonsgegevens van medewerkers worden verwerkt. De grondslag hiervoor is doorgaans gerechtvaardigd belang of de uitvoering van een overeenkomst, maar het is essentieel om dit duidelijk vast te leggen in een verwerkersovereenkomst. Bij het uitvoeren van phishing-simulaties als onderdeel van security awareness trainingen verwerk je eveneens persoonsgegevens van medewerkers, waarvoor een correcte grondslag nodig is.

Cookie consent verdient speciale aandacht. De Telecommunicatiewet schrijft voor dat je toestemming moet vragen voor het plaatsen van niet-functionele cookies. De eisen zijn streng: de accepteerknop en de weigerknop moeten even prominent worden weergegeven, en het moet net zo eenvoudig zijn om cookies te weigeren als om ze te accepteren. De AP heeft in 2024 meerdere organisaties aangesproken op misleidende cookie-banners die het weigeren van cookies onnodig complex maakten.

Veelgestelde vragen over consent

Is consent altijd nodig voor het verwerken van persoonsgegevens?

Nee, de AVG kent zes wettelijke grondslagen. Consent is er een van. Andere grondslagen zijn gerechtvaardigd belang, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang en algemeen belang. Kies de grondslag die het beste past bij het verwerkingsdoel. Consent is alleen nodig als geen andere grondslag van toepassing is.

Hoe bewijs je dat je geldige toestemming hebt verkregen?

Leg het moment van toestemming vast met datum, tijd, de exacte tekst die werd getoond, de versie van de privacyverklaring, en de wijze waarop toestemming is gegeven. Gebruik een consent management platform dat deze gegevens automatisch registreert en bewaarbaar maakt voor audits.

Mag je consent vragen via een cookie-banner?

Ja, mits de banner voldoet aan de AVG-eisen. De banner moet een duidelijke afwijsoptie bieden die even prominent is als de accepteerknop. Vooraf aangevinkte vakjes zijn niet toegestaan. De banner moet informeren over welke cookies worden geplaatst en voor welk doel, met een link naar de volledige cookieverklaring.

Wat is het verschil tussen consent en gerechtvaardigd belang?

Bij consent vraag je de betrokkene om actieve toestemming, die op elk moment kan worden ingetrokken. Bij gerechtvaardigd belang maak je een afweging tussen jouw belang bij de verwerking en de privacybelangen van de betrokkene. Gerechtvaardigd belang vereist een gedocumenteerde belangenafweging maar geen actieve toestemming.

Hulp nodig bij consent en privacy compliance? Vind een specialist via Governance, Risk & Compliance aanbieders op IBgidsNL.