August 9, 2025
2 min read
De analyse van de geldigheid van toestemming onder de General Data Protection Regulation (GDPR) toont aan dat vooraf aangevinkte vakjes geen geldige toestemming vormen. Volgens Overweging 32 van de GDPR moet toestemming zijn:
en een duidelijke bevestigende handeling van de betrokkene vereisen (Europees Parlement en de Raad, 2016). Dit impliceert rechtstreeks dat passieve handelingen, zoals vooraf aangevinkte vakjes of inactiviteit van de gebruiker, niet aan deze normen voldoen.
Het Hof van Justitie van de Europese Unie (CJEU) heeft deze interpretatie bekrachtigd door middel van rechterlijke uitspraken:
De implicaties zijn dat organisaties die vertrouwen op vooraf aangevinkte vakjes voor toestemming voor gegevensverwerking, de GDPR-vereisten schenden. De actieve keuze van de betrokkene om toestemming te geven moet blijken uit een opt-in-actie, waardoor dubbelzinnigheid wordt weggenomen en naleving wordt gegarandeerd.
Dit sluit aan bij de wetenschappelijke consensus die het belang benadrukt van expliciete, bevestigende toestemmingsmechanismen om de autonomie van de gebruiker en de controle over persoonsgegevens te versterken (Wright & Kreissl, 2020). Bovendien hebben empirische studies aangetoond dat vooraf aangevinkte vakjes:
Kortom, vooraf aangevinkte vakjes schenden de GDPR-normen voor geldige toestemming. Het juridische en academische bewijs ondersteunt de eis van een expliciete, bevestigende handeling van de gebruiker om de rechtmatige verwerking van persoonsgegevens vast te stellen.
