Een geldige toestemming volgens de AVG (artikel 7) moet een actieve handeling van de betrokkene zijn, waaruit blijkt dat deze akkoord gaat dat zijn/haar persoonsgegevens worden verwerkt. Deze wilsuiting dient in ieder geval voldoende specifiek te zijn. Voorwaarde is dat duidelijk moet zijn waar toestemming voor wordt gevraagd: vooraf is de betrokkene geïnformeerd waar zijn gegevens voor gebruikt gaan worden. Een opt-out is géén toestemming. Toestemming kan te allen tijde ook weer worden ingetrokken. Bovendien moet je kunnen aantonen dat er toestemming is gegeven, dus je zult het ook vast moeten leggen (schriftelijk of digitaal).
Bron: Kennisnet (bewerkt), een voorbeeld van een toestemmingsformulier staat hier.
