Bron: Ius Mentis
Veel kleine ondernemers gaan ervan uit dat ze juridisch gedekt zijn voor het gebruik van persoonsgegevens zodra een klant op "akkoord" klikt bij de algemene voorwaarden. Volgens het Nederlandse internetrechtblog Ius Mentis, geschreven door Arnoud Engelfriet, klopt die aanname niet.
Volgens Ius Mentis maakt de AVG het juridisch onmogelijk om geldige toestemming voor het gebruik van persoonsgegevens te verkrijgen via algemene voorwaarden. De reden is eenvoudig: de AVG vereist dat toestemming specifiek is. Een clausule die is weggestopt in een set voorwaarden voldoet daar vrijwel nooit aan.
De blogpost, gepubliceerd op 2 april 2026, wijst specifiek op artikel 7 lid 2 AVG. Volgens Ius Mentis vereist dit artikel dat elk verzoek om toestemming op een duidelijk onderscheidbare, begrijpelijke en eenvoudig toegankelijke manier wordt gepresenteerd, afgescheiden van andere zaken. Een juridische clausule verstopt op een pagina met standaardvoorwaarden voldoet daar volgens de blog naar verluidt nooit aan.
De praktische consequentie, aldus de blog, is dat je niet om een apart aankruisvakje heen kunt. En dat vakje moet specifiek zijn. Een algemene verklaring als "wij mogen uw gegevens gebruiken" is niet voldoende. Het doel en de ontvanger moeten duidelijk zijn.
Ius Mentis maakt een onderscheid tussen persoonsgegevens en niet-persoonsgebonden gegevens. Voor niet-persoonsgebonden gegevens merkt de blog op dat een Europese verordening die bekendstaat als de Data Act, ingevoerd in 2025, bepaalde grenzen stelt aan wat dienstverleners mogen doen. De blogauteur geeft echter aan dat er nog geen jurisprudentie bestaat over die bepalingen, waardoor het praktische beeld voor niet-persoonsgebonden gegevens minder duidelijk is.
Dit artikel richt zich op persoonsgegevens, waar de regels volgens Ius Mentis helder en strikt zijn.
De blog belicht ook een punt dat snel over het hoofd wordt gezien. Naar Nederlands burgerlijk recht, specifiek artikel 6:233 Burgerlijk Wetboek, kunnen onredelijk bezwarende bedingen worden vernietigd. Volgens Ius Mentis is het juridische uitgangspunt in Europa niet "u had de voorwaarden moeten lezen en de dienst moeten vermijden." Het komt eerder neer op "ongebruikelijke of onrechtmatige clausules in algemene voorwaarden zijn niet bindend." Dat is een betekenisvolle bescherming voor consumenten, en een betekenisvolle risicofactor voor ondernemers wier voorwaarden te ver gaan.
Voor een uitgebreidere blik op wat de AVG van uw onderneming vereist, zie de AVG-nalevingschecklist en de gids over vereisten voor een privacyverklaring.
Als uw website persoonsgegevens verzamelt en u vertrouwt op uw algemene voorwaarden om toestemming te dekken, is die aanpak juridisch niet geldig onder de AVG. U heeft een apart, specifiek toestemmingsmechanisme nodig, zoals een duidelijk gelabeld aankruisvakje, dat precies uitlegt waarvoor u toestemming vraagt. Uw huidige opzet toetsen aan de AVG-vereisten voor kleine ondernemingen is een praktische volgende stap.
Gratis websitescan voor AVG, auteursrecht, toegankelijkheid, beveiliging en meer.
Gratis scan startenEen groot Belgisch techbedrijf heeft een totale boete van 176.000 euro ontvangen van de Belgische Gegevensbeschermingsautoriteit (GBA) omdat het de e-mailmailbox van een voormalig medewerker niet tijd
Een Europese rechter heeft verduidelijkt dat bedrijven in bepaalde omstandigheden een verzoek om inzage in persoonsgegevens (ook wel AVG-inzageverzoek of DSAR genoemd) kunnen weigeren, zelfs als het d
De Autoriteit Persoonsgegevens (AP) vraagt om publieke inbreng op een concept-handhavingsbeleid, zo blijkt uit een aankondiging op de [AP-website](https://autoriteitpersoonsgegevens.nl/actueel/ap-vraa