# Voorwaarden voor toestemming — AVG — context bundle

> Focused context for a single provision, curated from overview.legal on 2026-07-11. Canonical page: https://overview.legal/laws/avg/art-7
> Every item cites its source. Verify against the official text (EUR-Lex / wetten.overheid.nl) before relying on it.

## Provision

### Voorwaarden voor toestemming — Voorwaarden voor toestemming

*AVG, art-7-nl — https://overview.legal/laws/avg/art-7*

1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.

2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.

3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

## Enforcement

106 decision(s) on record cite Article 7, totalling approximately €58,213,979 in fines (median €30,000).

Top fines:
- **Vodafone Italia S.p.A.: Non-compliance with general data processing principles** (ITALY, €12,251,601) — https://overview.legal/posts/46553
- **TIM S.p.A.: Insufficient legal basis for data processing** (ITALY, €7,631,175) — https://overview.legal/posts/47986
- **Edison Energia S.p.A.: Non-compliance with general data processing principles** (ITALY, €4,900,000) — https://overview.legal/posts/47786
- **Fastweb S.p.A.: Non-compliance with general data processing principles** (ITALY, €4,500,000) — https://overview.legal/posts/46735
- **Sky Italia S.r.l.: Insufficient legal basis for data processing** (ITALY, €3,296,326) — https://overview.legal/posts/46992

## Guidance

### EDPB-werkprogramma: vier pijlers met plannen voor richtsnoeren over AI, anonimisering en

*EDPB — https://overview.legal/posts/53737*

Het werkprogramma is opgebouwd rond vier pijlers: Pijler I: richt zich op harmonisatie en compliance: praktische guidance, templates (voor o.a. DPIA's, dataleknotificaties, privacy notices) en specifieke ondersteuning voor het mkb. Pijler II: draait om handhaving en samenwerking tussen toezichtho...

### Guidelines 02/2024 on Article 48 GDPR

*EDPB — https://overview.legal/posts/38045*

Article  48  GDPR  provides  that:  ' Any  judgment  of  a  court  or  tribunal  and  any  decision  of  an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data  may  only  be  recognised  or  enforceable  in  any  manner  if  based  on  an  international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer...

### Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority

*EDPB — https://overview.legal/posts/38046*

The European Data Protection Board (EDPB) adopted Guidelines 8/2022 on identifying a controller or processor's lead supervisory authority, providing updated guidance on the criteria for determining main establishment and the one-stop-shop mechanism under the GDPR. The guidelines address key concepts including cross-border processing, the "substantially affects" threshold, and the steps controllers and processors must follow to identify their lead supervisory authority. This document serves as interpretive guidance with no fines or enforcement outcomes, replacing the prior WP244 guidelines endorsed by the EDPB in 2018.

### Guidelines 01/2021

*EDPB — https://overview.legal/posts/38047*

The European Data Protection Board (EDPB) adopted Guidelines 01/2021 on December 14, 2021, providing practical examples and analysis regarding personal data breach notification obligations under Articles 33 and 34 of the GDPR. The guidelines present hypothetical scenarios covering ransomware attacks and data exfiltration incidents, illustrating how controllers should assess risk to determine whether notification to supervisory authorities and communication to data subjects are required. The document serves as interpretive guidance for controllers evaluating breach severity, appropriate mitigation measures, and notification decisions, and does not impose any fines or sanctions.

### Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation

*EDPB — https://overview.legal/posts/38048*

The EDPB issued Guidelines 1/2018 to clarify the framework for data protection certification and the identification of certification criteria under Articles 42 and 43 of the GDPR. The guidelines address key concepts such as the interpretation of "certification," the roles of supervisory authorities and certification bodies, and the process for approving certification criteria. This document provides practical guidance to stakeholders on how GDPR certification mechanisms, seals, and marks should be established and operated.

## Related topics

- **toestemming** — https://overview.legal/topics/toestemming
  ## Juridische context  

---
Generated by overview.legal · https://overview.legal/laws/avg/art-7 · 2026-07-11
