In onze voorgaande blogs zijn we ingegaan op enkele onderdelen van de Algemene verordening gegevensbescherming (AVG). We keken bijvoorbeeld naar de verwerkersovereenkomst en beschreven wat een datalek is.
Ook in deze blog gaan we in op een onderdeel van de AVG: de privacyverklaring. Bent u benieuwd wat de privacyverklaring inhoudt en welke onderdelen deze bevat? Lees dan snel verder voor uitgebreide uitleg.
Wat is een privacyverklaring?
Alle bedrijven die persoonsgegevens verzamelen, zijn verplicht de personen om wiens gegevens het gaat hierover in te lichten. Dit doen zij in de vorm van een privacyverklaring. In een privacyverklaring wordt precies uitgelegd welke gegevens worden verzameld, wat hiermee wordt gedaan en wat de rechten van de betrokken partijen zijn.
Veel bedrijven plaatsen een privacyverklaring op hun website, bijvoorbeeld in de footer. Echter, het is ook toegestaan om de verklaring uit te printen en persoonlijk aan de eigenaar van de gegevens te overhandigen. Dit is gangbaar in bijvoorbeeld de wachtkamer van een dokterspost of ziekenhuis.
Wat moet er in een goede privacyverklaring staan?
Artikel 13 van de AVG spreekt over de informatieplicht van AVG-plichtige instellingen. Zo wordt beschreven dat een bedrijf dat gegevens verzamelt, de eigenaar van deze gegevens in ieder geval van de volgende informatie moet voorzien:
- De identiteit en contactgegevens van het bedrijf dat de gegevens verzamelt (en/of van een vertegenwoordiger, indien van toepassing).
- De gegevens van de functionaris gegevensbescherming, indien van toepassing.
- Het doel van het verzamelen van de gegevens, en de rechtsgrond voor het gebruik hiervan.
- Als er verwerkingen plaatsvinden op basis van het zogenaamde ‘gerechtvaardigd belang’, een beschrijving van de afwegingen hieromtrent. Ofwel, waarom gaat het verwerken van deze gegevens boven de privacy van de personen wiens gegevens worden verwerkt?
- In voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens. Ofwel, worden de gegevens weer gedeeld met andere partijen en welke dit zijn?
- Of de gegevens zullen worden doorgegeven aan een ander land of een internationale organisatie.
- Hoe lang de gegevens zullen worden bewaard.
- De rechten van de eigenaar van de gegevens met betrekking tot inzage en wijziging.
- De rechten van de eigenaar van de gegevens om de rechten voor het gebruik hiervan in te trekken.
- Het recht van de eigenaar van de gegevens om, indien nodig, een klacht in te dienen bij een toezichthouder AVG.
- De contractuele verplichtingen van zowel de verstrekker van de persoonsgegevens als van het bedrijf dat deze verzamelt en gebruikt.
- Of er sprake is van geautomatiseerde besluitvorming, en zo ja, hoe.
- Of de gegevens van een andere organisatie afkomstig zijn.
Een begrijpelijke privacyverklaring
Zoals eerder aangegeven, staat de inhoud van de privacyverklaring dus redelijk vast. De vorm hiervan is echter wel vrij, al is het belangrijk om bij het opstellen van het document de volgende richtlijnen te volgen:
- De verklaring moet in duidelijke taal zijn geschreven, zodat de lezer (de doelgroep) alle onderdelen makkelijk begrijpt.
- De toon van het document moet aansluiten bij de ‘tone of voice’ van uw bedrijf.
- Onnodige juridische termen moeten worden vermeden. Wanneer mogelijk, probeer deze om te zetten in taal die voor de lezer te begrijpen is.
- De gebruikerservaring moet in de privacyverklaring centraal staan. Schrijf niet vanuit de wet, maar beschrijf situaties waar de lezer in de praktijk mee te maken heeft.
Een bekende casus die duidelijk illustreert waarom een privacyverklaring moet aansluiten bij de doelgroep van een bedrijf, is die van TikTok. De Autoriteit Persoonsgegevens legde TikTok een boete op omdat de doelgroep, voor een groot deel bestaande uit kinderen, de privacyverklaring alleen in het Engels te zien kreeg.
Maar hoe ziet een duidelijke privacyverklaring er dan uit? Zoals die van de Autoriteit Persoonsgegevens zelf, bijvoorbeeld. Alle benodigde onderdelen zijn hier te vinden, beschreven in duidelijke en begrijpelijke taal.
De eerste regels van de privacyverklaring van de Autoriteit Persoonsgegevens
Hulp nodig?
ComplyNow heeft jarenlange ervaring in het opstellen van privacyverklaringen, voor- of samen met een grote verscheidenheid aan bedrijven.
Heeft u vragen over de privacyverklaring of over de naleving van de AVG in het algemeen? Bekijk dan onze AVG implementatie, trainingen en consultancy diensten eens, of neem contact met ons op voor een vrijblijvende kennismaking. Wij horen graag van u!
