Is een privacyverklaring verplicht? Met een privacyverklaring of privacy statement voldoe je aan de informatieverplichting van artikel 12 van de AVG. Je kan en mag ook op een andere manier aan die verplichting voldoen, maar schriftelijk is natuurlijk wel zo handig. Al is het maar om later te kunnen bewijzen dat je aan de verplichting hebt voldaan.
Wie moet aan de AVG voldoen?
Een privacyverklaring is verplicht voor iedere persoon, bedrijf, instelling of organisatie die aan de AVG moet voldoen. Lees daarover meer in de blogpost ‘Wanneer is de AVG van toepassing?‘
De AVG is vooral niet van toepassing bij zuiver privé gebruik of ‘huishoudelijke activiteit’. Je hoeft je dus geen zorgen te maken over je persoonlijke (digitale) adressenboekje.
Maar zodra het niet meer persoonlijk is, moet je al snel wel aan de AVG voldoen. Of je daar nu commerciële belangen bij hebt of niet.
Kortom: ben je een verwerkingsverantwoordelijke, dan moet je aan de AVG voldoen en heb je dus ook in enige vorm een privacyverklaring nodig.
Privacyverklaring moet voor iedereen begrijpelijk zijn
Ken je die ellenlange privacyverklaringen? Vol met jargon? Waar niet doorheen te komen is? Juist ja, dat mag dus helemaal niet.
Een privacyverklaring moet namelijk:
- beknopt
- transparant
- in begrijpelijke en toegankelijke vorm
- in duidelijke en eenvoudige taal
zijn geschreven. Het idee was ooit dat daar ook gestandaardiseerde iconen bij gebruikt mochten worden, maar die zijn er nog steeds niet. Al mag je natuurlijk altijd zelf nog de tekst verduidelijken met eigen iconen.
-
Privacyverklaring€ 69,00
Wanneer verstrek je de privacyverklaring?
Wist je trouwens dat je de informatie uit de privacyverklaring al moet geven wanneer je de persoonsgegevens ontvangt?
Online zet je het dus in elk geval bij je contactformulier of bestelformulier en op elke andere plaats waar mensen op jouw website de contactgegevens achter kunnen laten. Daarnaast zou je een link naar de privacyverklaring op de contactpagina kunnen zetten, zodat mensen de privacyverklaring al hebben kunnen lezen voor ze je bellen of e-mailen.
Natuurlijk kan het zijn dat mensen je mailen zonder op je website geweest te zijn. Daarom heb ik in de e-mailhandtekening ook een link naar de privacyverklaring opgenomen. Zodra ze een reactie krijgen, ontvangen ze ook de link naar de privacyverklaring. Sneller kan ik de informatie ook niet delen en een link is wel makkelijk vindbaar, maar ook niet overdreven nadrukkelijk aanwezig.
Wat moet er in de privacyverklaring staan?
- Informatie over jezelf (je eigen organisatie) en de contactgegevens
- Heb je een Functionaris Gegevensbescherming? Dan vermeld je ook daar de contactgegevens van.
- Van elke soort verwerking moet je de grondslag noemen.
- Maak je gebruik van de grondslag gerechtvaardigd belang, dan moet je ook uitleg geven over de belangenafweging die je gemaakt hebt en waarom jouw belang nu zwaarder weegt dan het privacybelang van de betrokkene (de persoon van wie de persoonsgegevens zijn).
- Heb je de grondslag toestemming gebruikt, dan moet je ook vermelden dat de toestemming altijd weer ingetrokken mag worden.
- Is de grondslag de wettelijke of contractuele verplichting, dan moet je ook mededelen wat de gevolgen zijn als de betrokkene de persoonsgegevens niet verstrekt.
- Vervolgens moet je ook uitleggen voor welke doeleinden je de persoonsgegevens gebruikt.
- Geef je de gegevens door aan andere partijen? Dan moet je deze, althans de categorieën, ook benoemen.
- Gaan er persoonsgegevens naar het buitenland, bijvoorbeeld omdat je verwerkers gebruikt uit het buitenland, dan moet je mededelen of deze gevestigd zijn in een zogenaamd adequaat land of dat er passende waarborgen getroffen zijn en hoe dat op te vragen is.
- Laat zien hoe lang je persoonsgegevens bewaart of wat daar de criteria voor zijn. Oneindig mag niet. Maar bij een nieuwsbrief ‘tot jij je hebt uitgeschreven’, mag wel.
- Informeer de betrokkene over diens rechten op inzage, rectificatie, wissing en beperking van de persoonsgegevens en het recht op bezwaar tegen de verwerking en het recht op gegevensoverdraagbaarheid. Dit is dus in elke privacyverklaring min of meer hetzelfde.
- Ook moet je mededelen dat de betrokkene een klacht mag indienen bij de Autoriteit Persoonsgegevens.
- Doe je aan geautomatiseerde besluitvorming, zoals profilering, dan moet je dat ook mededelen en vertellen wat de gevolgen daarvan zijn.
- Heb je de persoonsgegevens niet direct zelf ontvangen, maar bijvoorbeeld van iemand anders gekregen of ergens gekocht, moet je dat ook in de privacyverklaring vermelden. Je moet de privacyverklaring dan binnen een maand, uiterlijk bij het eerste contact, mededelen aan de betrokkenen.
Maak ik 10 minuten je eigen privacyverklaring, met de privacy policy generator.