Checklist: Is jouw Privacyverklaring al AVG/GDPR-ready?

De nieuwe Europese Privacywet – Algemene Verordening Gegevensbescherming (AVG) – zorgt ervoor dat alle bedrijven en organisaties hun eigen bedrijfssystemen weer even onder de loep moeten nemen en het een en ander moeten aanpassen en updaten, zoals de privacyverklaring.

privacyverklaring AVG GDPR Privacywet

Voor wie geldt de AVG?

De AVG is beter bekend onder de Engelstalige afkorting GDPR, dat staat voor General Data Protection Regulation. Deze nieuwe Europese Privacyverordening geldt voor elke organisatie die op de een of andere manier met persoonsgegevens te maken krijgt. Alleen gebruik voor ‘persoonlijke of huishoudelijke activiteit’, zoals de telefoonnummers in je privételefoon, vallen hierbuiten.

De AVG geldt dus zowel voor de grote corporate bedrijven als ZZP’ers, voor de lokale sportvereniging en de goede doelen stichting en alles daar tussenin.

Strengere eisen aan de privacyverklaring

Het is belangrijk dat de betrokkene (de persoon op wie de persoonsgegevens betrekking hebben) weet wat er met zijn/haar gegevens gebeuren. Daarnaast moet de persoon over zijn/haar rechten geïnformeerd worden, zoals het recht te klagen bij de toezichthouder (de Autoriteit Persoonsgegevens) en het recht op inzage. Praktisch gezien betekent dit dat elke organisatie de privacyverklaring zal moeten updaten.

Schriftelijk = privacyverklaring

Strikt juridisch technisch wordt er geen privacyverklaring geeist, maar staat er dat de informatie schriftelijk of met ‘andere middelen’, waaronder elektronische middelen, verstrekt moet worden. Dat betekent dat een privacyverklaring de makkelijkste manier is. Als je die op je website publiceert, kan in veel gevallen een link naar die privacyverklaring volstaan om voldoende te informeren.

Wat zijn nu precies de vereisten aan die privacyverklaring? Ik leg het je hieronder uit.

Mail voor hulp bij een privacyverklaring

Beknopt en transparant Informeren

Er moeten ‘passende maatregelen’ getroffen worden om een betrokkene voldoende te informeren. Dit moet je in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ doen. Beknopt wordt nogal lastig met de hoeveelheid informatie die je moet geven. Zie daarvoor de lijstjes later in dit artikel.

In duidelijke en eenvoudige taal

De informatie moet dus in duidelijke en eenvoudige taal verstrekt worden. Hoe zorg je daarvoor?
Je moet rekening houden met de doelgroep. Verzamel je vooral gegevens van Nederlanders, dan moet de privacyverklaring ook in het Nederlands opgesteld worden. Verzamel je veel gegevens van kinderen, dan moet het zo zijn opgeschreven dat ook zij begrijpen wat je bedoelt.

In de meeste gevallen zal het een goed uitgangspunt zijn om een privacyverklaring in het Nederlands, op B1-niveau, op te laten stellen.

Ga je het zelf schrijven of laat je het doen? Zorg in elk geval dat het juridisch klopt. Als je het laat doen, kies dan een jurist die niet te wollig schrijft en die overbodig jargon overslaat of zorg ervoor dat je er ook een communicatiespecialist naar laat kijken.

Checklist: Dit moet in de Privacyverklaring staan

De AVG of GDPR schrijft duidelijk voor waarover geïnformeerd moet worden, dus wat je in een privacyverklaring op moet nemen. Dat zijn een paar algemene zaken die in elke privacyverklaring opgenomen moeten worden, maar andere informatie hoef je alleen in specifieke gevallen te vermelden. Ik heb het hieronder voor je opgesomd en in delen opgesplitst.

Algemene informatie

  • Identiteit, zoals de bedrijfsnaam zoals ingeschreven bij de KvK en contactgegevens
  • Rechtsgronden voor de verwerking. Er zijn 6 rechtsgronden, waar van de belangrijkste toestemming, uitvoering van een overeenkomst, een wettelijke verplichting en het gerechtvaardigd belang zijn.
  • Doel voor de verwerking. Ofwel: wat ga je met de gegevens doen en waarvoor ga je ze gebruiken. Alle doelen moeten omschreven worden.
  • De gevolgen van het niet verstrekken van persoonsgegevens (door de betrokkene) moet gemeld worden, wanneer er sprake is van een wettelijke of contractuele verplichting of een noodzakelijke voorwaarde waar de persoonsgegevens voor verwerkt moeten worden.
  • Duur van de opslag. De persoonsgegevens mogen niet langer bewaard worden dan nodig. ‘Oneindig’ kan daarom niet. Leg uit hoe lang gegevens bewaard worden of welke criteria de termijn bepalen. Bijvoorbeeld: “Uw naam en e-mailadres slaan wij op zolang u op onze nieuwsbrief bent ingeschreven.”
  • Recht op inzage, rectificatie of wissing van de persoonsgegevens. Vermeld zowel dat de betrokkene dit recht heeft als hoe ze het in kunnen roepen, bijvoorbeeld door naar een speciaal e-mailadres te mailen.
  • Klachtrecht. De betrokkene moet geïnformeerd worden dat en hoe er een klacht ingediend kan worden bij de Autoriteit Persoonsgegevens.

Alleen in sommige gevallen

  • Contactgegevens van de Functionaris Gegevensbescherming (als die er is)
  • Gerechtvaardigd belang als grondslag gebruikt? Dan moet uitgelegd worden welk belang dat precies is. Dit kan soms ook een marketingbelang zijn.
  • Categorieën van ontvangers van de persoonsgegevens. Worden de gegevens doorgespeeld naar andere partijen, bijvoorbeeld omdat dit nodig is om de overeenkomst uit te voeren, dan moet vermeld worden naar welk soort partijen de gegevens worden doorgegeven.
  • Doorgifte aan een derde land moet vermeld worden. Wanneer de persoonsgegevens bijvoorbeeld bij een bedrijf worden ondergebracht met servers buiten Nederland en vooral buiten de EU, moet dat vermeld worden.
  • Als gegevens met toestemming zijn verkregen, moet vermeld worden dat de toestemming ingetrokken mag worden. Vermeld ook hoe dat kan, bijvoorbeeld door te mailen naar een specifiek e-mailadres.
  • Profiling en geautomatiseerde besluitvorming moeten vermeld worden, met daarbij waarom dat wordt gedaan en wat de verwachte gevolgen daarvan zijn. De betrokkene mag altijd bezwaar maken tegen profiling.

Wanneer gegevens niet van betrokkene zelf zijn verkregen

  • De bron waar de persoonsgegevens vandaan komen. Bijvoorbeeld omdat er een lijst gekocht is. Ook als de gegevens uit een openbare bron komen, moet dat vermeld worden

Op tijd informeren

Je moet de informatie verstrekken (een link naar de privacyverklaring toesturen), op het moment dat je de gegevens van de betrokkene ontvangt. Echt tegelijkertijd kan natuurlijk niet en achteraf mag alleen in sommige gevallen. Zorg daarom bij voorkeur dat je de informatie vooraf verstrekt. Bijvoorbeeld door de link naar de privacyverklaring duidelijk bij het contactformulier en het nieuwsbriefinschrijvingsformulier (scrabblewoord) te plaatsen.

Krijg je nu de gegevens zonder dat je vooraf kunt informeren, bijvoorbeeld omdat iemand een e-mail stuurt of omdat een potentiële klant belt en die gegevens in je CRM systeem worden opgenomen, moet je ze ook informeren over de gegevensverwerking, bijvoorbeeld door in een mail die je stuurt met een hyperlink te verwijzen naar de privacyverklaring.

Heb je de gegevens niet van de betrokkene zelf gekregen, maar via een derde, zoals ik bijvoorbeeld de gegevens krijg van de deelnemers aan het Frankwatching Webinar over de AVG, dan moeten deze personen daarover binnen een maand na het verkrijgen of bij het eerste contact geïnformeerd worden.

Als de gegevens verkregen worden op basis van toestemming, moet de betrokkene natuurlijk nog voor het geven van de toestemming de informatie gekregen hebben. Hoe kan die persoon anders weten waar hij of zij mee akkoord gaat?

Boetes!

Je riskeert een boete van maximaal €20.000.000,- of 4% van de wereldwijde jaaromzet, als je niet aan deze informatieverplichting voldoet. Het is daarom niet (meer) alleen in het belang van de betrokkene, maar ook in het belang van je eigen organisatie, dat de privacyverklaring up-to-date is en op het juiste moment wordt verstrekt.

Wil je boetes voorkomen? Kun je wel hulp gebruiken bij het schrijven van een goede privacyverklaring? Vragen? Neem contact op! We zullen natuurlijk zorgvuldig met je gegevens omgaan en ze niet aan derden verstrekken. 😉

Mail Ons!

Lees ook de andere artikelen over de AVG.

Comments

  1. Liesbeth says:

    dankjewel voor deze info!

  2. Carola says:

    Ik heb nog nergens gelezen hoe je moet omgaan met een gratis weggever. Stel, je geeft iets weg als iemand zich inschrijft voor je emailnieuwsbrief. Mag dit dan nog steeds? Voorwaarde om de weggever te krijgen is immers de inschrijving.
    Natuurlijk denk ik er zelf ook over na. Ik bedacht het volgende:
    – oude manier: ontvang mij gratis weggever. als je het formulier invult, wordt je op mijn emaillijst geplaatst.
    – nieuwe manier: Schrijf je in voor mijn nieuwsbrief en ontvang als dank mijn gratis weggever.

    Mag dit? Of moet het nog helemaal anders.

  3. Robert says:

    Hoi Charlotte, als het goed is heeft iedereen straks een privacyverklaring op de site staan. Hoe zit het met wijzigingen, bijvoorbeeld omdat er extra gegevens worden verzameld of een andere externe partij voor bv. het sturen van je nieuwsbrieven wordt gekozen. Is een nieuwe versie uploaden dan voldoende, of moet iedereen (wow, hoe dan) geïnformeerd worden?

  4. Mijn vraag is of je privacy verklaring gezien/ goedgekeurd moet zijn door een jurist?

Trackbacks

  1. […] Je kunt hiervoor terecht bij Charlotte’s Law → […]

  2. […] Law (die sowieso de moeite waard is om te bezoeken als je online werkt!) kun je terecht voor een hele handige checklist, waar precies in staat wat er in jouw privacy verklaring moet […]

  3. […] Je moet de klant informeren over wie je bent, welke gegevens je verzamelt, waarvoor je de gegevens gaat gebruiken (bijvoorbeeld voor het afhandelen van de bestelling of voor het versturen van een nieuwsbrief), hoe lang je de gegevens gaat bewaren en dat de klant het recht heeft de toestemming ook weer in te trekken. Dit kun je allemaal in je privacyverklaring kwijt. Lees hier wat er nog meer in je privacyverklaring moet staan. […]

  4. […] Je moet de klant informeren over wie je bent, welke gegevens je verzamelt, waarvoor je de gegevens gaat gebruiken (bijvoorbeeld voor het afhandelen van de bestelling of voor het versturen van een nieuwsbrief), hoe lang je de gegevens gaat bewaren en dat de klant het recht heeft de toestemming ook weer in te trekken. Dit kun je allemaal in je privacyverklaring kwijt. Lees hier wat er nog meer in je privacyverklaring moet staan. […]

  5. […] Checklist: Is jouw Privacyverklaring al AVG/GDPR-ready? […]

  6. […] op je website. Deze moet meer dan 11 punten bevatten en advocaat Charlotte Meindertsma laat zien welke dat zijn. Op de website Veilig Internetten staat een handige Privacyverklaring Generator. Vul de velden in, […]

  7. […] is de Privacyverklaring Generator. Op de website van Charlottw’s Law staat een handige checklist. Bij Hosting2Go kun je een voorbeeld van een privacyverklaring downloaden. Deze is juridisch […]

Speak Your Mind

*

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.