Nog 1 maand tot AVG/GDPR: de 3 grootste misverstanden over Privacyverklaringen

Vanaf vandaag hebben we nog één maand de tijd om aan de AVG/GDPR te kunnen voldoen. Staat jouw privacyverklaring al klaar om online geplaatst te worden op 25 mei? We nemen nog even de drie grootste misverstanden met je door.

Privacyverklaring = informatieverplichting

Je bent verplicht informatie te verstrekken aan de betrokkene (de persoon van wie de persoonsgegevens zijn), wanneer je de persoonsgegevens verzamelt.
Dit moet in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal, schriftelijk worden medegedeeld. Volgt u het nog?
Vervolgens zijn er een groot aantal punten die in de privacyverklaring moeten staan. Is jouw privacyverklaring, in een gemiddeld lettertype, met gemiddelde witregels en marges, een A4 of korter, dan staat er waarschijnlijk niet alles in wat erin moet staan.

Lees ook: Is jouw privacyverklaring al AVG/GDPR-ready?

Misverstand 1: Toestemming

Je hebt voor een privacyverklaring geen toestemming nodig. Het is geen overeenkomst. Het zijn geen algemene voorwaarden.

De privacyverklaring is er om te informeren. Je hebt namelijk een informatieverplichting. Die informatie lever je via je privacyverklaring. Het informeren zelf is dus voldoende.

Het uitgangspunt is dat je de informatie schriftelijk levert, dus in een privacyverklaring. Maar het mag ook ‘met andere middelen’, zoals elektronische middelen. Op verzoek van de betrokkene mag de informatie ook mondeling gegeven worden. Zorg er in elk geval voor dat de informatie wel voor iedereen te begrijpen is.

Misverstand 2: Privacyverklaring in de Algemene Voorwaarden

Een privacyverklaring mag je niet ‘verstoppen’ in de algemene voorwaarden of een ander document.

De informatie moet namelijk transparant en gemakkelijk toegankelijk zijn. De informatie is niet meer gemakkelijk toegankelijk als iemand er in een ander document naar op zoek moet. Het is dan immers niet vooraf duidelijk dat de informatie in dat document te vinden zal zijn en waar in dat document het dan zal staan.

De privacyverklaring is dus altijd een apart document. Naar mijn mening zou je wel in hetzelfde document mogen informeren over cookies, omdat dit eigenlijk ook betrekking heeft op de privacy.

Misverstand 3: Privacyverklaring moet op de website

Het is niet verplicht om een privacyverklaring op je website te plaatsen, maar het is wel verdomd handig

Je hebt een privacyverklaring, en dan? Je voldoet met een privacyverklaring aan de informatieverplichting, maar alleen als je hem op tijd ter beschikking hebt gesteld.

Je moet op tijd informeren. Als je de persoonsgegevens van de betrokkene zelf ontvangt, moet je informeren bij de verkrijging van de persoonsgegevens. Gelijk oversteken dus. Ofwel: zorg dat je een link naar de privacyverklaring of privacy statement opneemt bij je contactformulier, inschrijfformulier en bij alle andere eerste contactmomenten.

lifehack: Ook via e-mail krijg je natuurlijk persoonsgegevens toegestuurd, zoals een e-mailadres en een naam. Om ervoor te zorgen dat je ‘gelijk oversteekt’, zou je een link naar de privacyverklaring in de e-mailhandtekening op kunnen nemen.

Krijg je de informatie niet van de betrokkene zelf, maar via een andere weg, dan moet je de betrokkene binnen een maand informeren.

Al klaar voor de AVG

Nog niet klaar voor de AVG? Lees eens deze blogposts:

About Charlotte Meindersma

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.

Comments

  1. Renske says:

    Als ik onder mijn nieuwsbriefformulier vermeld: “Met je inschrijving voor mijn nieuwsbrief ga je akkoord met de verwerking van je naam en e-mailadres op de manier zoals omschreven in de privacyverklaring” + link naar privacyverklaring.

    Mag dat wel?

    • Het mag wel, maar je hebt dus geen akkoord op die privacyverklaring nodig. Je wil alleen toestemming voor om iemand een nieuwbrief toe te mogen sturen (de verwerking is hier niet zo’n probleem, maar je hebt toestemming nodig voor het versturen van de e-mail onder de Telecommunicatiewet)

  2. Hi Charlotte,

    Ik heb de wet zo geintepreteerd dat je in principe voor elk systeem/software waar PII data doorheen gaan vooraf toestemming moet hebben van de consument/natuurlijke persoon.

    Dus je CRM pakket e.d. moet óók in de Privacy statement – en niet alleen de digitale software/tools die aan de voorkant werken (veelal met cookies) maar ook die in aanraking komen met je PII data nadat je op “Versturen” of “Kopen” hebt geklikt…

    Zie jij dat ook zo of zie jij dat anders?

    MvrGr
    Joost Hoogstrate

    • Je moet in je privacyverklaring vermelden met welke derden je gegevens deelt, dus ook alle soorten SaaS-oplossingen. Je hoeft niet te vertellen welk CRM systeem, maar wel dat je er een gebruikt waarbij de gegevens dus bij een derde worden opgeslagen.

  3. Astrid says:

    Moet ik mijn bestaande klanten, waarvan wij natuurlijk door de jaren heen al de nodige gegevens hebben ontvangen, nog apart informeren over de nieuwe privacyverklaring door middel van bv een mail met als bijlage de nieuwe p.verklaring? Of voldoen wij al aan de informatieplicht (dus ook naar bestaande klanten) wanneer de verklaring op onze site staat?

  4. Martjan says:

    Iedereen verstuurd nu voor 25 mei van die toestemmingsmailtjes. Die mogen toch ook nog verstuurd worden na 25 mei?

Speak Your Mind

*