Je hebt een nieuwe privacyverklaring nodig voor 25 mei 2018

Je zou kunnen denken dat dit een verkooppraatje is. Wij van WC Eend raden WC Eend aan. Zoiets. Maar dat is niet zo. De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend onder de GDPR (General Data Protection Regulation) komt eraan. Deze is al op 25 mei 2016 in werking getreden en zal vanaf 25 mei 2018 van toepassing zijn voor iedereen die persoonsgegevens verwerkt in de EU. Het idee is dat de privacyregels in de EU meer gelijk getrokken worden. Een van de veranderingen is dat de privacyverklaringen gewijzigd moeten worden. Ze worden helaas vooral langer…

mei 2018 elke website een nieuwe privacyverklaring

De nieuwe Privacyverklaring moet meer dan 11 punten bevatten

In de privacyverklaring moet over tenminste 11 punten geïnformeerd worden. In sommige gevallen zelfs over meer, afhankelijk van jouw onderneming, de gegevens die je verzamelt en wat je daar vervolgens mee doet. Deze 11 punten moeten in elk geval in de privacyverklaring worden opgenomen:

  • Identiteit van de onderneming
  • Contactgegevens
  • Het doel of de doelen waarvoor de gegevens verzameld worden
  • Wie de ontvangers van de persoonsgegevens zijn
  • Hoe lang de gegevens worden opgeslagen of de criteria voor het bepalen van die termijn
  • Dat personen het recht hebben op inzage, rectificatie of wissing van hun gegevens
  • Dat het recht bestaat om tegen de verwerking van de persoonsgegevens bezwaar te maken
  • Als gegevens met toestemming zijn verkregen, dat het recht bestaat op intrekking van die toestemming
  • Het recht op klagen bij de Autoriteit Persoonsgegevens
  • Of het verstrekken van de persoonsgegevens een wettelijke verplichting is of dat het een contractuele verplichting of voorwaarden voor uitvoering van een contract is en of de betrokkene (persoon van wie de gegevens zijn) verplicht is de gegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van de persoonsgegevens
  • Indien er sprake is van geautomatiseerde besluitvorming of profilering moet dit gemeld worden en moet ook vermeld worden wat daarvan het het belang is en wat de gevolgen ervan zijn
  • Begrijpelijke taal

    Een privacyverklaring moet bovendien beknopt (hoe dan, als er zoveel informatie in moet?), transparant, in begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijk en eenvoudige taal beschikbaar zijn. Vooral als het gericht is op kinderen moet het eenvoudig geschreven zijn. In een toegankelijke vorm wil zeggen dat tekst niet per sé nodig is. Een filmpje zou ook kunnen, maar dan zou je het wel moeten ondertitelen, anders kunnen doven het niet begrijpen.

    Zorg er in elk geval voor dat de verklaring altijd gemakkelijk te vinden is. Bijvoorbeeld door een link naar de pagina in de footer van de website te plaatsen. Verstop het in elk geval niet in de algemene voorwaarden, want dat is het niet meer gemakkelijk toegankelijk. Dat is immers niet de plek waar een privacyverklaring hoort, dus ook niet de plek waar gezocht zal worden.

    Dan moet het nog in eenvoudige taal geschreven zijn. Gebruik zo min mogelijk jargon en schrijf niet te wollig. Schrijf zo veel mogelijk in taalniveau B1. Dat is wat de meeste mensen goed kunnen begrijpen. Een conservatieve jurist die graag met jargon smijt zal in dit geval niet de beste keuze zijn. Soms is het beter om het zelf te schrijven en te laten controleren door een jurist. Of zoek er een die toch al toegankelijk kan schrijven.

    Ik wil een privacyverklaring in klare taal

    Comments

    1. Je somt 10 punten op, terwijl je zegt dat het er 11 zijn. Wat is die 11e? Ik wil mijn klanten graag goed informeren 🙂 als ik ze naar je doorverwijs.

    2. Bedankt Charolotte, was net bezig met nieuwe site voor een klant te ontwikkelen en deze vraag spookte door mijn hoofd. Heeft goed geholpen.

    3. Hoi Charlotte,

      Een duidelijk verhaal. Op zich vind ik het nog wel meevallen (maar dat ligt misschien aan de organisatie waar ik werk).

      Wat ik me afvraag is wat ik moet vertellen over pixels van FB op m’n site, en het verzamelen van anonieme gegevens tbv Google Analytics. Ligt dat bij Google? Of moet ik dat toch ergens vermelden (nog steeds). En hoe zit het dan met recht tot vergeten of geen toestemming geven voor het verzamelen van gegevens?

      Of valt dit helemaal buiten de scope van de wet en haal ik twee dingen door elkaar?

      • Op het moment dat je persoonsgegevens verwerkt (opslaat, verzamelt, etc.) heb je een privacyverklaring nodig waarin je inderdaad transparant en zo volledig mogelijk uitlegt welke gegevens worden verzameld, hoe lang ze worden bewaard, met welk doel, etc. De regels voor de AVG gelden voor vrijwel iedere verwerking van persoonsgegevens. Lees daarover ook eens deze blog.

        Daar bovenop zul je voor bepaalde cookies inderdaad toestemming moeten vragen, voordat je deze mag plaatsen. Dat is nu nog geregeld in de Cookiewet. Lees over cookies en toestemming vragen daarvoor ook eens deze webpagina van de ACM.

    4. Moet ik deze verklaring beschikbaar en zichtbaar stellen op mijn website?

      • Dat ligt er onder andere aan hoe en waar je de gegevens verkrijgt. In ieder geval ben je verplicht om te informeren, dus je moet duidelijk en transparant de informatie verstrekken. Als jij gegevens verzamelt via jouw website, dan is een makkelijk vindbare privacyverklaring een goede manier om aan de informatieplicht te voldoen.

    Speak Your Mind

    *