Blog over recht en ICT

      rechtenict@juridict.nl

De Privacyverklaring onder de AVG

Zo vlak voor de datum van 25 mei krijg ik opvallend veel vragen over de privacyverklaring. Uiteraard een begrijpelijke vraag omdat vrijwel elke organisatie persoonsgegevens zoals bijvoorbeeld klantgegevens, ledengegevens, etc. verwerkt waardoor er een privacyverklaring nodig is.

Waarom is er een privacyverklaring nodig?

Een van de veranderingen die de Algemene Verordening Gegevensbescherming (AVG) met zich meebrengt is dat er meer informatieplichten gaan gelden. Meer informatieplichten betekent concreet dat je als “betrokkene” meer informatie krijgt over de verweking van je persoonsgegevens. Door middel van een privacyverklaring kun je deze betrokkene, zoals bijvoorbeeld je klanten of je leden, informeren over welke privacygevoelige gegevens er worden verzameld en met welk doel dit gebeurd.

Hoe geef je een privacyverklaring vorm?

Art. 12 AVG noemt enkele vormvereisten waaraan een privacyverklaring moet voldoen. Hieruit kunnen we opmaken dat je als “verwerkingsverantwoordelijke” de betrokkene op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal dient te informeren.

Wat moet ik tenminste opnemen in een privacyverklaring?

Het is best lastig om aan het uitgangspunt van art. 12 AVG te voldoen. De AVG schrijft o.a. in art. 12 en art. 14 namelijk een vrij uitgebreide informatieplicht voor. De AVG noemt een aantal algemene zaken die in alle privacyverklaringen dienen te worden opgenomen. Daarnaast zijn er enkele specifiekere regels die opgenomen dienen te worden voor het geval dat je gevoelige gegevens verzamelt. Ik noem de meest in het oog springende hieronder.

De identiteit en de contactgegevens van de onderneming dienen te worden vermeld. Wanneer de organisatie een “functionaris gegevensbescherming” heeft aangesteld dienen haar of zijn contactgegevens worden vermeld.

Er dient te worden aangegeven waarvoor en met welk doel de persoonsgegevens worden verzameld. Daarbij dient te worden aangeven wie eventuele ontvangers zijn van de gegevens en hoe gegevens worden beveiligd. Tevens is het van belang dat er wordt aangegeven voor welke periode de gegevens worden opgeslagen. Je kunt hier per doel een termijn opnemen, abstract of liever concreet: factuurgegevens bewaren we 7 jaar op grond van de Wet op de Rijksbelastingen, mailadressen worden bewaard tot op het moment dat je je uitschrijf of maximaal voor de duur van 2 jaar.

Ook de grondslag of grondslagen voor de verwerking dienen te worden genoemd. Zie voor meer informatie over deze grondslagen een eerder artikel dat ik heb hierover geschreven. Ik benadruk nogmaals dat je voor de grondslag “toestemming” moet kunnen aantonen dat je deze toestemming ook daadwerkelijk hebt en dat deze toestemming op ieder moment door een betrokkene kan worden ingetrokken.

In de privacyverklaring dienen ook de rechten van een betrokkene te worden vermeld zoals het recht op inzage, rectificatie, het wissen van gegevens, het kunnen maken van bezwaar en het recht op data-portabiliteit. Tevens dient kenbaar te worden gemaakt dat een betrokkene klachtrecht heeft bij de Autoriteit Persoonsgegevens. Informeer de betrokkene verder of sprake is van geautomatiseerde besluitvorming of profilering, wat het belang hiervan is en wat de gevolgen hiervan zijn.

Vindbaar

Op het moment van schrijven van dit artikel, zo’n 24 uur voor de magische datum van 25 mei, realiseer ik me dat het kort dag is om nog even een goede privacyverklaring op te stellen. De meeste trouwe lezers zullen inmiddels echter in het bezit zijn van een dergelijke verklaring. Verstop deze tekst niet op een hoekje links onderin op je site maar zet hem prominent neer en zorg ervoor dat je “relaties” er kennis van kunnen nemen.