Onder de AVG is toestemming een van de zes wettelijke grondslagen voor het verwerken van persoonsgegevens. Geldige toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn, wat betekent dat de betrokkene actief moet instemmen door middel van een duidelijke bevestigende handeling. Vooraf aangevinkte vakjes, stilzwijgen of inactiviteit vormen geen geldige toestemming.
Toestemming moet even gemakkelijk in te trekken zijn als te geven, en organisaties moeten registraties bijhouden die bewijzen dat toestemming is verkregen. Voor bijzondere categorieën gegevens (zoals biometrische of gezondheidsgegevens) is uitdrukkelijke toestemming vereist op grond van artikel 9. Organisaties dienen zorgvuldig te evalueren of toestemming de meest geschikte wettelijke grondslag is, aangezien deze op elk moment kan worden ingetrokken, wat lopende verwerkingsactiviteiten kan verstoren.