Checklist: Is jouw Privacyverklaring al AVG/GDPR-ready?
De nieuwe Europese Privacywet – Algemene Verordening Gegevensbescherming (AVG) – zorgt ervoor dat alle bedrijven en organisaties hun eigen bedrijfssystemen weer even onder de loep moeten nemen en het een en ander moeten aanpassen en updaten, zoals de privacyverklaring.
Voor wie geldt de AVG?
De AVG is beter bekend onder de Engelstalige afkorting GDPR, dat staat voor General Data Protection Regulation. Deze nieuwe Europese Privacyverordening geldt voor elke organisatie die op de een of andere manier met persoonsgegevens te maken krijgt. Alleen gebruik voor ‘persoonlijke of huishoudelijke activiteit’, zoals de telefoonnummers in je privételefoon, vallen hierbuiten.
De AVG geldt dus zowel voor de grote corporate bedrijven als ZZP’ers, voor de lokale sportvereniging en de goede doelen stichting en alles daar tussenin.
LawStories in je mailbox?
Strengere eisen aan de privacyverklaring
Het is belangrijk dat de betrokkene (de persoon op wie de persoonsgegevens betrekking hebben) weet wat er met zijn/haar gegevens gebeuren. Daarnaast moet de persoon over zijn/haar rechten geïnformeerd worden, zoals het recht te klagen bij de toezichthouder (de Autoriteit Persoonsgegevens) en het recht op inzage. Praktisch gezien betekent dit dat elke organisatie de privacyverklaring zal moeten updaten.
Schriftelijk = privacyverklaring
Strikt juridisch technisch wordt er geen privacyverklaring geeist, maar staat er dat de informatie schriftelijk of met ‘andere middelen’, waaronder elektronische middelen, verstrekt moet worden. Dat betekent dat een privacyverklaring de makkelijkste manier is. Als je die op je website publiceert, kan in veel gevallen een link naar die privacyverklaring volstaan om voldoende te informeren.
Wat zijn nu precies de vereisten aan die privacyverklaring? Ik leg het je hieronder uit.
Mail voor hulp bij een privacyverklaring
Beknopt en transparant Informeren
Er moeten ‘passende maatregelen’ getroffen worden om een betrokkene voldoende te informeren. Dit moet je in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ doen. Beknopt wordt nogal lastig met de hoeveelheid informatie die je moet geven. Zie daarvoor de lijstjes later in dit artikel.
In duidelijke en eenvoudige taal
De informatie moet dus in duidelijke en eenvoudige taal verstrekt worden. Hoe zorg je daarvoor?
Je moet rekening houden met de doelgroep. Verzamel je vooral gegevens van Nederlanders, dan moet de privacyverklaring ook in het Nederlands opgesteld worden. Verzamel je veel gegevens van kinderen, dan moet het zo zijn opgeschreven dat ook zij begrijpen wat je bedoelt.
In de meeste gevallen zal het een goed uitgangspunt zijn om een privacyverklaring in het Nederlands, op B1-niveau, op te laten stellen.
Ga je het zelf schrijven of laat je het doen? Zorg in elk geval dat het juridisch klopt. Als je het laat doen, kies dan een jurist die niet te wollig schrijft en die overbodig jargon overslaat of zorg ervoor dat je er ook een communicatiespecialist naar laat kijken.
Stel in 10 minuten je eigen privacyverklaring op.
Checklist: Dit moet in de Privacyverklaring staan
De AVG of GDPR schrijft duidelijk voor waarover geïnformeerd moet worden, dus wat je in een privacyverklaring op moet nemen. Dat zijn een paar algemene zaken die in elke privacyverklaring opgenomen moeten worden, maar andere informatie hoef je alleen in specifieke gevallen te vermelden. Ik heb het hieronder voor je opgesomd en in delen opgesplitst.
Algemene informatie
- Identiteit, zoals de bedrijfsnaam zoals ingeschreven bij de KvK en contactgegevens
- Rechtsgronden voor de verwerking. Er zijn 6 rechtsgronden, waar van de belangrijkste toestemming, uitvoering van een overeenkomst, een wettelijke verplichting en het gerechtvaardigd belang zijn.
- Doel voor de verwerking. Ofwel: wat ga je met de gegevens doen en waarvoor ga je ze gebruiken. Alle doelen moeten omschreven worden.
- De gevolgen van het niet verstrekken van persoonsgegevens (door de betrokkene) moet gemeld worden, wanneer er sprake is van een wettelijke of contractuele verplichting of een noodzakelijke voorwaarde waar de persoonsgegevens voor verwerkt moeten worden.
- Duur van de opslag. De persoonsgegevens mogen niet langer bewaard worden dan nodig. ‘Oneindig’ kan daarom niet. Leg uit hoe lang gegevens bewaard worden of welke criteria de termijn bepalen. Bijvoorbeeld: “Uw naam en e-mailadres slaan wij op zolang u op onze nieuwsbrief bent ingeschreven.”
- Recht op inzage, rectificatie of wissing van de persoonsgegevens. Vermeld zowel dat de betrokkene dit recht heeft als hoe ze het in kunnen roepen, bijvoorbeeld door naar een speciaal e-mailadres te mailen.
- Klachtrecht. De betrokkene moet geïnformeerd worden dat en hoe er een klacht ingediend kan worden bij de Autoriteit Persoonsgegevens.
Alleen in sommige gevallen
- Contactgegevens van de Functionaris Gegevensbescherming (als die er is)
- Gerechtvaardigd belang als grondslag gebruikt? Dan moet uitgelegd worden welk belang dat precies is. Dit kan soms ook een marketingbelang zijn.
- Categorieën van ontvangers van de persoonsgegevens. Worden de gegevens doorgespeeld naar andere partijen, bijvoorbeeld omdat dit nodig is om de overeenkomst uit te voeren, dan moet vermeld worden naar welk soort partijen de gegevens worden doorgegeven.
- Doorgifte aan een derde land moet vermeld worden. Wanneer de persoonsgegevens bijvoorbeeld bij een bedrijf worden ondergebracht met servers buiten Nederland en vooral buiten de EU, moet dat vermeld worden.
- Als gegevens met toestemming zijn verkregen, moet vermeld worden dat de toestemming ingetrokken mag worden. Vermeld ook hoe dat kan, bijvoorbeeld door te mailen naar een specifiek e-mailadres.
- Profiling en geautomatiseerde besluitvorming moeten vermeld worden, met daarbij waarom dat wordt gedaan en wat de verwachte gevolgen daarvan zijn. De betrokkene mag altijd bezwaar maken tegen profiling.
Wanneer gegevens niet van betrokkene zelf zijn verkregen
- De bron waar de persoonsgegevens vandaan komen. Bijvoorbeeld omdat er een lijst gekocht is. Ook als de gegevens uit een openbare bron komen, moet dat vermeld worden
-
Privacyverklaring€ 69,00Waardering 5.00 op 5 gebaseerd op 2 klantbeoordelingen
Op tijd informeren
Je moet de informatie verstrekken (een link naar de privacyverklaring toesturen), op het moment dat je de gegevens van de betrokkene ontvangt. Echt tegelijkertijd kan natuurlijk niet en achteraf mag alleen in sommige gevallen. Zorg daarom bij voorkeur dat je de informatie vooraf verstrekt. Bijvoorbeeld door de link naar de privacyverklaring duidelijk bij het contactformulier en het nieuwsbriefinschrijvingsformulier (scrabblewoord) te plaatsen.
Krijg je nu de gegevens zonder dat je vooraf kunt informeren, bijvoorbeeld omdat iemand een e-mail stuurt of omdat een potentiële klant belt en die gegevens in je CRM systeem worden opgenomen, moet je ze ook informeren over de gegevensverwerking, bijvoorbeeld door in een mail die je stuurt met een hyperlink te verwijzen naar de privacyverklaring.
Heb je de gegevens niet van de betrokkene zelf gekregen, maar via een derde, zoals ik bijvoorbeeld de gegevens krijg van de deelnemers aan het Frankwatching Webinar over de AVG, dan moeten deze personen daarover binnen een maand na het verkrijgen of bij het eerste contact geïnformeerd worden.
Als de gegevens verkregen worden op basis van toestemming, moet de betrokkene natuurlijk nog voor het geven van de toestemming de informatie gekregen hebben. Hoe kan die persoon anders weten waar hij of zij mee akkoord gaat?
Boetes!
Je riskeert een boete van maximaal €20.000.000,- of 4% van de wereldwijde jaaromzet, als je niet aan deze informatieverplichting voldoet. Het is daarom niet (meer) alleen in het belang van de betrokkene, maar ook in het belang van je eigen organisatie, dat de privacyverklaring up-to-date is en op het juiste moment wordt verstrekt.
Wil je boetes voorkomen? Kun je wel hulp gebruiken bij het schrijven van een goede privacyverklaring? Vragen? Neem contact op! We zullen natuurlijk zorgvuldig met je gegevens omgaan en ze niet aan derden verstrekken. 😉
Lees ook de andere artikelen over de AVG.
Stel in vier eenvoudige stappen je eigen privacyverklaring op met de privacyverklaringgenerator.