Op dit moment wordt de bescherming van de privacy van uw klanten gereguleerd door de Wet bescherming persoonsgegevens (“Wbp“). De Wbp wordt op 25 mei 2018 vervangen door een Europese verordening: de Algemene Verordening Gegevensbescherming (“AVG”). De AVG biedt ten opzichte van de Wbp een hoger niveau van privacybescherming. Elke onderneming in Nederland dient aan de voorschriften uit de AVG te voldoen indien er sprake is van verwerken van persoonsgegevens. Vrijwel elke handeling met betrekking tot informatie over een natuurlijk persoon is een dergelijke verwerking. Bij overtreding van de AVG kunnen forse boetes worden opgelegd. De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, adviseert bedrijven dan ook nadrukkelijk te onderzoeken of hun processen, diensten en producten voldoen aan de vereisten van de AVG.
Net als de Wbp bepaalt de AVG dat verwerking van persoonsgegevens uitsluitend is toegestaan indien wordt voldaan aan tenminste één van de in die verordening limitatief opgesomde voorwaarden. Eén van die voorwaarden is dat de klant toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Toestemming onder de AVG dient in vrije wil, specifiek, geïnformeerd, ondubbelzinnig en door een duidelijke actieve handeling te worden gegeven. Het baseren van toestemming op een stilzwijgen of een reeds aangekruist vakje is derhalve niet toegestaan. De klant dient voordat hij toestemming geeft bovendien te worden geïnformeerd over wie zijn persoonsgegevens gaat verwerken en voor welke doeleinden.
In de praktijk wordt door ondernemingen deze toestemming nog wel eens als voorwaarde gesteld voor uitvoering van de met die de klant te sluiten overeenkomst. Hiervan is bijvoorbeeld sprake indien de klant uitsluitend een bestelling kan plaatsen via het internet wanneer hij door het plaatsen van een digitaal vinkje akkoord gaat met het gebruik van zijn e-mailadres voor het verzenden van nieuwsbrieven. Aan deze praktijk tracht de AVG paal en perk te stellen. Indien de verwerking van persoonsgegevens waarvoor op deze wijze toestemming wordt gevraagd niet noodzakelijk is voor de uitvoering van de overeenkomst, bepaalt de AVG dat hiermee ten sterkste rekening wordt gehouden bij de vraag of de toestemming wel vrijelijk (en dus rechtmatig) is gegeven. Hoe dit in de praktijk zal worden uitgelegd en toegepast is nu nog niet bekend, maar het is in ieder geval iets waar ondernemingen rekening mee moeten houden.
Bovendien geldt dat, indien de toestemming van de klant betrekking heeft op verschillende aangelegenheden (waaronder de verwerking van persoonsgegevens), het verzoek om die toestemming begrijpelijk moet worden geformuleerd en een duidelijk onderscheid moet maken tussen de verschillende aangelegenheden waarvoor die toestemming wordt gevraagd.