AVG: zo maak je je privacyverklaring begrijpelijk [5 tips]

Met de privacywet AVG is iedere organisatie verplicht om informatie te geven over hoe ze omgaat met persoonsgegevens. En dat op een heldere, voor de klant begrijpelijke manier. Onder andere in een privacyverklaring. Hoe zorg je dat de privacyverklaring van jouw organisatie daar in korte termijn aan voldoet? Een paar tips en voorbeelden.

Eerlijk is eerlijk: zo’n privacyverklaring roept meestal geen warme gevoelens op bij de lezer. Vaak zijn het ingewikkelde, onleesbare documenten. Die inhoudelijk misschien wel helemaal op orde zijn. Maar ‘beknopt, transparant en begrijpelijk’? Geschreven in ‘duidelijke en eenvoudige taal’? Dat zijn ze meestal niet. En toch is dat wél precies wat de nieuwe Algemene Verordening Gegevensbescherming (AVG) vereist. Deze tips kunnen helpen.

1. Denk vanuit de lezer, niet vanuit de wet

Natuurlijk, je kunt precies beschrijven hoe je omgaat met de wettelijke grondslagen, verwerkingsdoelen en privacyrechten. Maar begrijpelijker is het om aan te sluiten bij de werkelijkheid van de lezer. Wat doet jouw organisatie voor hem? Welke rol spelen persoonsgegevens daarin? En hoe gaat de organisatie daarmee om? Bekijk bijvoorbeeld eens het verschil tussen het privacystatement van Nationale Nederlanden en dat van bol.com.

2. Vermijd wettelijke termen

Verwerkingsgrondslagen, verwerkersovereenkomsten, opt-in en opt-out… Heel belangrijk binnen de AVG. Maar voor de gemiddelde lezer beslist geen gesneden koek. Goed nieuws: je hoeft al dat wettelijk jargon niet te gebruiken. Vermijd de juridische termen. Meestal kun je ze gewoon weglaten of ze omschrijven. Opt-in is bijvoorbeeld niet meer dan ‘zelf toestemming geven’. En verwerkersovereenkomsten zijn ‘afspraken die wij vastleggen, met partijen waarmee we uw gegevens delen’.

Vermijd vooral ook de term ‘verwerkingsgrondslag’ (zet ‘m ook niet in een kopje!). Beschrijf liever de verwerkingsgrondslagen waarop je je beroept zo helder en concreet mogelijk:

• We sturen u alleen nieuwsbrieven als u ons daarvoor toestemming heeft gegeven.
• Als we een opdracht voor u (gaan) uitvoeren, gebruiken we uw persoonsgegevens. Bijvoorbeeld om u een offerte te sturen. En om te overleggen, afspraken te maken en te factureren.
• We zijn wettelijk verplicht om uw gegevens aan andere organisaties door te geven. Zo moeten wij aan de Belastingdienst doorgeven hoeveel premies u heeft betaald.
• In noodsituaties of levensbedreigende situaties gebruiken we persoonsgegevens zonder toestemming vooraf. Bijvoorbeeld de gegevens van slachtoffers van een ongeluk, aanslag of brand.

3. Schrijf begrijpelijk

Zonder onnodige juridische termen wordt je privacyverklaring al een stuk beter leesbaar. Meer tips voor een begrijpelijke, beknopte en duidelijke tekst:

• Schrijf korte alinea’s met één kernboodschap
• Formuleer duidelijke koppen
• Hou het beknopt. Gebruik niet alleen lopende tekst, maar ook opsommingen, tabellen, kaders
• Schrijf actieve zinnen
• Schrap onnodige werkwoorden: zullen, kunnen, gaan, hebben, worden
• Zet woorden die bij elkaar horen bij elkaar

Een klein voorbeeld, een passage over de privacyrechten van klanten. Dat kán zo:

Recht op inzage, correctie en overdracht

De wet kent aan u bepaalde rechten toe met betrekking tot de door ons verwerkte persoonsgegevens. U hebt het recht ons een opgave te vragen welke gegevens van uzelf door ons worden verwerkt. Bevat het door ons verstrekte overzicht van gegevens naar uw mening onjuistheden, dan kunt u schriftelijk om aanpassing van de gegevens verzoeken. Binnen vier weken na uw verzoek hoort u van ons of wij aan uw verzoek kunnen voldoen. Tevens bent u gerechtigd om gegeven over te laten dragen.

Maar begrijpelijker, compacter én vriendelijker is:

Uw gegevens blijven van u
Wilt u weten welke persoonsgegevens wij precies van u hebben? Vraag dan gerust een overzicht bij ons op. U mag ons ook vragen om de persoonsgegevens die wij van u hebben:
– aan te passen
– te wissen
– over te dragen aan iemand anders.
Stuur uw verzoek naar [e-mailadres], dan maken wij het voor u in orde.

4. Visualiseer

De Autoriteit Persoonsgegevens schrijft voor dat de informatie ‘in principe schriftelijk’ gegeven moet worden. Maar je hoeft het niet alleen bij woorden te laten. Gebruik in of naast de privacyverklaring dus gerust ook een infographic, animatie, of filmpje om dingen helder en beknopt uit te leggen. Zo kun je zorgen dat meer mensen tóch iets meekrijgen van het privacybeleid van jouw organisatie. Dat hebben ze bij ING goed begrepen. Daar maakten ze een animatie over privacy en persoonsgegevens.

5. Kies een passende tone of voice

Dat is best even schrikken: word je op Marktplaats.nl eerst vriendelijk aangesproken:

Bij Marktplaats willen we graag dat je succesvol, plezierig en veilig kunt handelen.

En dan verzeil je in het privacystatement opeens in zinnen als deze:

Reikwijdte en toestemming: Door gebruik te maken van Marktplaats.nl en daaraan gerelateerde Diensten, stemt u uitdrukkelijk in met het verzamelen, gebruiken, bekendmaken en bewaren door ons van uw persoonsgegevens.

Dat kan anders. Zorg in de privacyverklaring voor een consistente toon. Dat doet Coolblue bijvoorbeeld heel goed. Zo populair als bij Coolblue hoeft het natuurlijk niet. Maar kies de toon die past bij jouw organisatie en dienstverlening.

Neem die zin van Marktplaats, die zou ook veel plezieriger van toon kunnen:

Handelen op Marktplaats kan niet anoniem. We hebben nu eenmaal gegevens van onze verkopers en kopers nodig. Gebruikt u Marktplaats? Of een van onze andere diensten? Dan gaan we ervanuit dat u dit begrijpt. En dat u het goed vindt dat we ook uw persoonsgegevens verwerken.

Kom in actie!

Moet de privacyverklaring van jouw organisatie nog flink op de schop om AVG-proof te zijn? Kom dan snel in actie. Want vanaf 25 mei 2018 is het wettelijk verplicht om hierover duidelijk en helder te zijn. Maar geen paniek: je bent zeker niet de laatste die hiermee nog aan de slag moet. Zelfs de Autoriteit Persoonsgegevens – de toezichthouder als het gaat om de nieuwe AVG – heeft nog wel het nodige werk te verzetten. Zo lees ik in hun huidige privacyverklaring bijvoorbeeld:

De Autoriteit Persoonsgegevens informeert betrokkenen in beginsel als zij gegevens van hen gaat verwerken.

Hè? Wat staat daar nu eigenlijk precies? En dan deze:

De uitvoering van de wettelijke taak kan met zich meebrengen dat de Autoriteit Persoonsgegevens gegevens, inclusief persoonsgegevens, deelt met andere toezichthouders en het OM. Dit gebeurt op basis van een wettelijke grondslag of een samenwerkingsovereenkomst.

Dat kan ook nog een stuk transparanter en begrijpelijker. Bijvoorbeeld zo:

Soms zijn we wettelijk verplicht om persoonsgegevens te delen met anderen. Bijvoorbeeld met het Openbaar Ministerie, als iemand zich niet houdt aan de AVG.

We delen daarnaast ook gegevens met sommige van onze collega-toezichthouders. Zoals de Inspectie Gezondheidszorg en de Autoriteit Consument en Markt. Zo helpen we elkaar om zo goed mogelijk toezicht te houden. Afspraken over deze gegevensuitwisseling, leggen we vast in een samenwerkingsovereenkomst.

Hopelijk helpen deze tips je om je privacyverklaring begrijpelijk te maken voor je klanten. Heb je toevoegingen? Laat ze achter bij de reacties.

[Update redactie: in een eerdere versie van het artikel stond dat de AVG niet voorschrijft in welke vorm de informatie gegeven moet worden. Dat was iets te stellig geformuleerd – de tekst is inmiddels genuanceerd.]