Privacyverklaringen bestaan er in allerlei soorten en maten en ook de scope kan verschillen. Van bondig tot uitgebreid en van algemeen tot specifiek. Beschikt je website wel over een privacyverklaring? En voldoet deze aan de juiste eisen? Sabine Straver, senior privacy consultant bij DMCC Nederland, helpt je graag op weg.
Als je persoonsgegevens verzamelt van klanten (of donateurs), prospects of werknemers dan ben je wettelijk verplicht om die personen duidelijk en volledig te informeren over wat je met hun persoonsgegevens doet en waarom. Organisaties hebben onder de AVG namelijk een informatieplicht en betrokkenen (de mensen van wie je gegevens verzamelt) het recht op duidelijke informatie. Dit informeren gebeurt in de praktijk via een online privacyverklaring.
De AVG stelt een aantal specifieke eisen aan de inhoud, de toegankelijkheid en de duidelijkheid van die informatie (en dus aan de privacyverklaring):
1. Volledig
Vanzelfsprekend moet duidelijk zijn welke persoonsgegevens je waarom verwerkt. Dat wil zeggen voor welke doeleinden en met welke reden (wettelijke grondslag). Daarnaast is het van belang uit te leggen hoe je vervolgens met die gegevens omgaat: hoe lang, waar (binnen/buiten EU) en hoe gegevens bewaard blijven. Met welke organisaties worden er gegevens gedeeld en waarom? Uiteraard is het belangrijk dat iedereen begrijpt dat het je privacyverklaring is (voorzie deze dus van duidelijke bedrijfsgegevens). Men moet hier terecht kunnen met vragen of klachten en het moet duidelijk worden hoe zij gebruik kunnen maken van hun privacy-rechten, zoals het recht op inzage, bezwaar of verwijdering. Welke informatie je exact moet geven heeft de Autoriteit Persoonsgegevens (AP) voor je onder elkaar gezet op haar website.
2. Goed vindbaar
Al deze informatie moet je verstrekken op het moment dat je de gegevens verkrijgt, bijvoorbeeld door middel van een directe link op je bestel- of contactformulier. Als je op basis van toestemming de gegevens verwerkt, dan zal je voordat je toestemming krijgt je privacyverklaring moeten verstrekken. Plaats de link bijvoorbeeld ook bij de inschrijving voor de nieuwsbrief. Is het niet mogelijk vooraf te informeren (omdat je de gegevens niet van de betrokkenen zelf maar van een andere organisatie hebt ontvangen), dan kun je in het eerste contact verwijzen naar de privacyverklaring.
3. Begrijpelijk
Een privacyverklaring mag niet te lang en ingewikkeld zijn. Ook moet je als organisatie het taalgebruik afstemmen op de doelgroep. De informatie die je geeft moet voor de betrokkenen namelijk makkelijk te begrijpen zijn. Als je te maken hebt met meerdere doelgroepen kun je er voor kiezen om een specifieke privacyverklaring op te stellen per doelgroep of per thema (bijvoorbeeld één specifiek voor klanten of donateurs en één specifiek voor personeel en sollicitanten). Zo voorkom je dat de privacyverklaring onnodig lang van stof wordt en kun je specifiek(er) informeren.
Organisaties hebben onder de AVG een verantwoordingsplicht. Je moet kunnen aantonen dat je voldoet aan de verplichtingen uit de AVG, waaronder de informatieplicht. De Autoriteit Persoonsgegevens kan je privacyverklaring controleren. Zorg er dus voor dat je privacyverklaring voldoet aan alle eisen die de AVG en de AP daaraan stellen.
