How to

Zo is je privacyverklaring AVG/GDPR-proof

0

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend onder de Engelse afkorting GDPR) van kracht. Transparantie is een van de belangrijkste onderdelen hiervan. Daarom zal elke instantie – van ZZP’er tot multinational en van sportvereniging tot stichting – een nieuwe privacyverklaring moeten opstellen. Maar wat moet er in je nieuwe privacyverklaring staan? In dit artikel som ik de belangrijkste onderdelen voor je op.

Beknopt en transparant, hoe dan?

Je zou bijna gaan denken dat de AVG zichzelf tegenspreekt. In de wet staat dat je ‘passende maatregelen’ moet treffen om een betrokkene (dat is de persoon waar de persoonsgegevens bij horen) voldoende te informeren. En dit moet op een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’ gebeuren. De wet schrijft voor waarover je de betrokkene moet informeren. Dat zijn nogal wat punten, waardoor ‘beknopt’ eigenlijk al niet meer kan.

Zorg voor duidelijke en eenvoudige taal

Wat is nu duidelijke en eenvoudige taal? Dat hangt af van je doelgroep. Van welke personen verzamel je gegevens? Als het kinderen zijn, dan moet de taal extra eenvoudig zijn. Je mag ervan uitgaan dat het altijd in de taal moet van het land waar ze wonen. Dat is sowieso een goed uitgangspunt. We vinden wel dat wij Nederlanders zo talig zijn, maar niet iedereen beheerst het Engels voldoende. Laat staan als het over zoiets als privacy gaat.

Natuurlijk mag je de privacyverklaring ook in meerdere talen aanbieden, zolang de inhoud maar hetzelfde is. Taalniveau B1 is daar meestal het beste niveau voor. Voor grotere organisaties kan het daarom absoluut geen kwaad om de communicatie-afdeling met de juristen samen te laten werken. Al dat jargon van die juristen is natuurlijk geen duidelijke en eenvoudige taal, al kom je er ook niet altijd onderuit.

Schriftelijk = privacyverklaring

De informatie die je in duidelijke en eenvoudige taal moet overbrengen, moet je schriftelijk of met ‘andere middelen’ (waaronder elektronische middelen) verstrekken. Kortom: zorg voor een mooie privacyverklaring die je ergens op een website plaatst, zodat je daarnaar kunt linken. Het hoeft overigens niet per se in de vorm van een privacyverklaring, zolang je alle informatie maar wel op de juiste manier verstrekt.

Overigens hoef je de informatie uit zo’n privacyverklaring alleen te verstrekken, als de betrokkene de informatie nog niet eerder heeft ontvangen.

Wat moet er in je privacyverklaring staan?

Er zijn een aantal algemene gegevens die in alle privacyverklaringen voor moeten komen. Daarnaast bestaan er nog wat specifiekere regels, voor het geval dat je gevoelige gegevens verzamelt. Je moet ook extra informatie verstrekken als je niet zelf de gegevens verzamelt, maar ze via een derde hebt verkregen.

Het wordt een lange lijst (die ik ook in de video hieronder bespreek), dus haal even koffie en ga ervoor zitten.

Om deze video of embedded content te zien, moet je marketing cookies accepteren.

Algemene informatie

  • Identiteit. Bijvoorbeeld de bedrijfsnaam (zoals die is ingeschreven bij de KvK) en de contactgegevens.
  • Doeleinden en rechtsgronden voor de verwerking. Rechtsgronden zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief. Je moet alle doeleinden beschrijven.
  • Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
  • Duur van de opslag. Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.
  • Recht op inzage, rectificatie of wissen van de persoonsgegevens. De betrokkene heeft dit recht en daarover moet je hem/haar in de privacyverklaring informeren. Hierbij kun je meteen vermelden hoe de betrokkene dat verzoek kan indienen.
  • Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Alleen in sommige gevallen

  • Contactgegevens van de Functionaris Gegevensbescherming (als die er is).
  • Categorieën van ontvangers van de persoonsgegevens. Je moet vermelden aan wie de gegevens worden doorgegeven. Bijvoorbeeld omdat de gegevens bij dienstverleners van SaaS-oplossingen worden opgeslagen, maar ook als gegevens worden verzameld en aan een partner worden doorgegeven. Soms volstaat het om alleen de categorie te noemen (zoals ‘betaaldiensten’), maar vaak zul je de specifieke partij moeten noemen.
  • Worden de gegevens aan een ‘derde land’ verstrekt, bijvoorbeeld omdat de servers in een ander land staan, dan moet je dat ook vermelden. Daarbij moet je ook vermelden of het land adequaat is verklaard (dit zijn in elk geval alle landen in de EU) of dat er passende waarborgen zijn getroffen. Het is belangrijk dat er in een ander land niet makkelijker omgegaan mag worden met persoonsgegevens.
  • Als gegevens met toestemming zijn verkregen, moet je vermelden dat de toestemming ook weer ingetrokken mag worden.
  • Als er sprake is van geautomatiseerde besluitvorming of profiling, dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.

Wanneer gegevens niet van betrokkene zelf zijn verkregen

  • De bron waar de persoonsgegevens vandaan komen, ook als ze van een openbare bron komen.

Wanneer moet je betrokkenen informeren?

Wanneer verschaf je bovenstaande informatie? Als de betrokkene zelf de gegevens geeft, dan moet je hem/haar daarbij direct informeren. Een soort ‘gelijk oversteken’ dus. Krijg je de persoonsgegevens niet van de betrokkene zelf, dan moet je binnen een maand na het krijgen van de gegevens of bij het eerste contact (zoals via direct marketing) hem/haar informeren.

Als je op basis van toestemming de gegevens verwerkt (dus niet op basis van een andere grondslag, zoals een wettelijke verplichting of een overeenkomst), dan zul je zelfs nog voor je toestemming krijgt alle informatie moeten verstrekken. Een voorbeeld: je wil graag gegevens verzamelen van geïnteresseerde personen (bijvoorbeeld om ze nieuwsbrieven te kunnen versturen). Dan heb je toestemming nodig voor het verzamelen van namen en adresgegevens. Bij het invulformulier plaats je een link naar de privacyverklaring. Op deze manier is de betrokkene al geïnformeerd voordat hij/zij de persoonsgegevens in het formulier invult.

Zo voldoe je aan de informatieverplichtingen

Voldoe je niet aan deze informatieverplichtingen? Dan riskeert je onderneming een boete van maximaal €20.000.000,- of 4% van de wereldwijde jaaromzet (als dat een hoger bedrag zou zijn). Het is dus niet (meer) alleen in het belang van de betrokkene dat je duidelijk bent over wat je met de persoonsgegevens doet. Het is ook in het belang van je eigen organisatie.

Je moet betrokkenen over bovenstaande punten duidelijk en tijdig informeren. Dat hoeft niet in een privacyverklaring, dat zou ook op een andere manier mogen. Maar je moet wel aan kunnen tonen dat je duidelijk hebt geïnformeerd en dat je dit in een gemakkelijk toegankelijke vorm hebt gedaan. Alles bij elkaar in een privacyverklaring, waar je altijd naar kunt linken, lijkt daarom het meest eenvoudig. Je kunt dan geen informatie meer vergeten. En je overvalt mensen niet meteen met grote lappen tekst, waar niemand op zit te wachten.