Wat is een consent passport?
Een consent passport is een digitaal, persoonsgebonden overzicht waarin een burger zijn of haar actieve gegevenstoestemmingen ziet en beheert. Per toestemming staat geregistreerd: welke partij toegang heeft, welke gegevenscategorie het betreft, voor welk doel, en gedurende welke periode. De gebruiker kan op elk moment een toestemming intrekken, waarna de uitwisseling direct stopt.
Operationalisering van AVG art. 7
De AVG vereist in artikel 7 dat toestemming voor gegevensverwerking ondubbelzinnig, aantoonbaar en eenvoudig intrekbaar is. In de praktijk gebeurt toestemmingsbeheer vaak versnipperd: een papieren formulier hier, een vinkje in een app daar. Een consent passport bundelt dit in één centraal register dat altijd inzichtelijk is voor de burger en gekoppeld aan de feitelijke data-stromen tussen partijen.
Voorbeelden in Nederland
IRMA (I Reveal My Attributes) is een open-source initiatief van de SIDN-fonds-gesteunde Privacy by Design Foundation dat attribuut-gebaseerde toestemmingen ondersteunt. MijnGegevens (overheid) biedt burgers inzicht in hun gegevens bij gemeenten. In de zorgsector zijn er ontwikkelingen rond medisch toestemmingsbeheer via MedMij. Een consent passport is geen wettelijk product, maar een ontwerppatroon dat in verschillende contexten kan landen.
Relatie met data-minimalisatie
Een goed ontworpen consent passport dwingt aanvragende partijen tot expliciete doelbinding: per uitwisseling wordt benoemd welke gegevens minimaal nodig zijn voor welk doel. Hierdoor wordt data-minimalisatie ingebouwd in het proces. Toestemming kan niet generiek worden gegeven voor onbekende toekomstige doeleinden, wat in lijn is met de uitgangspunten van AVG art. 5 (rechtmatigheid en doelbinding).