De nieuwe privacyverklaring
Waarom een privacyverklaring?
Op dit moment geldt in Nederland nog de Wet bescherming persoonsgegevens (‘Wbp’). De Wbp legt op een verantwoordelijke (degene die persoonsgegevens verwerkt) de verplichting om de betrokkene (degene wiens persoonsgegevens het betreft) te informeren dat zijn persoonsgegevens worden verwerkt. Bovendien geldt dat de verantwoordelijke transparant moet zijn over de wijze van verwerking van persoonsgegevens. Een wijze om aan die informatie- en transparantieplicht te voldoen is het opstellen en publiceren van een privacyverklaring. Ook B2B persoonsgegevens, bijvoorbeeld de gegevens van een contactpersoon (naam, telefoonnummer, e-mailadres) vallen onder de regels van de Wbp. Dat betekent dat iedere onderneming een privacyverklaring nodig heeft.
Inhoud privacyverklaring
De AVG bepaalt dat een privacyverklaring vanaf 25 mei 2018 op ten minste tien punten informatie moet bieden:
- Identiteit van de onderneming;
- Contactgegevens;
- Doel waarvoor de persoonsgegevens worden verzameld;
- Wie ontvangers van de persoonsgegevens zijn;
- Bewaartermijn of de criteria voor het bepalen van die termijn;
- Vermelding van rechten van betrokkene (te weten recht op inzage, rectificatie, wissen van gegevens, bezwaar, dataportabiliteit);
- Informeren over intrekken van toestemming (als gegevens op basis van toestemming worden verwerkt);
- Klachtrecht bij de Autoriteit Persoonsgegevens;
- Informeren over de grondslag van de verstrekking van de persoonsgegevens (wettelijke verplichting of contractuele verplichting of voorwaarde voor uitvoering overeenkomst) én vermelden van gevolgen bij niet-verstrekking.
- Melden of sprake is van geautomatiseerde besluitvorming of profilering, wat het belang daarvan is en wat de gevolgen ervan zijn.
Afhankelijk van het type onderneming, de soort informatie die wordt verzameld en het doel waarvoor die informatie vervolgens wordt gebruikt, kunnen aanvullende informatieverplichtingen bestaan.
Vormeisen AVG aan privacyverklaring
De AVG bepaalt niet alleen welke onderwerpen in een privacyverklaring aan bod moeten komen (de inhoud), maar bevat ook bepalingen over de vorm. De ‘nieuwe’ privacyverklaring moet namelijk voldoen aan de volgende vereisten:
- Beknopt
- Transparant
- In begrijpelijke en gemakkelijk toegankelijke vorm
- Duidelijk en eenvoudig leesbare taal.
Beknopt, eenvoudig toegankelijk en begrijpelijk
De informatie die wordt verstrekt moet voor de doelgroep toegankelijk zijn. Hieruit volgt tevens dat de informatie (i) beknopt moet zijn (geen lange, wollige verhalen dus: wees concreet), (ii) toegankelijk moet zijn (gemakkelijk vindbaar en te raadplegen, bijvoorbeeld door middel van een hyperlink onderaan de webpagina en niet verstopt in algemene voorwaarden) en (iii) begrijpelijk (in ‘jip en janneke’-taal en geen jargon). Het gebruik van visuele hulpmiddelen of iconen kan hieraan bijdragen.
Duidelijke en eenvoudige taal
Vanwege het vereiste dat betrokkenen worden geïnformeerd in duidelijke en eenvoudige taal, is van belang de doelgroep in het achterhoofd te houden. In het algemeen geldt dat een taalgebruik hoger dan taalniveau B2 van het Europees Referentiekader Talen niet geschikt wordt geacht. Is een activiteit gericht op kinderen (bijvoorbeeld toestemming voor internetdiensten) dan zal op kinderen afgestemde taal moeten worden gebruikt.
Hulp nodig bij uw privacyverklaring?
Met de AVG op komst is het van belang dat u ook uw huidige privacyverklaring controleert. Voldoet deze aan de hierboven genoemde punten en vereisten? Heeft u überhaupt nog geen privacyverklaring, stel er dan eentje op. PlasBossinade kan u helpen bij het opstellen of controleren van uw privacyverklaring.
Zie ook:
- Met 10 tips klaar voor Algemene Verordening Gegevensbescherming
- Maak uw organisatie AVG-proof: begin met een grondige inventarisatie
- Een datalek, wat moet ik ermee?
- Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
- Register voor verwerkingsactiviteiten onder de nieuwe AVG
- De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkingsovereenkomst
- De AVG: Wat is een PIA en moet u daar iets mee?
- De AVG: Is uw beveiliging van persoonsgegevens op orde?