Scroll

Wanneer is je privacyverklaring AVG-proof?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG, ook wel bekend als GDPR) van kracht. 248 dagen later, op de Data Privacy Day, zijn er nog steeds veel organisaties die geen correcte privacyverklaring hebben. Vaak omdat het simpelweg onduidelijk is voor veel MKB-bedrijven. In dit artikel som ik de belangrijkste onderdelen voor je op.

Hoe stel je een correcte privacyverklaring op?

Er moet behoorlijk wat informatie in een privacyverklaring staan om deze te bestempelen als ‘AVG-proof’. Volgens de AVG-wetgeving moet de privacyverklaring ’transparant en beknopt’ zijn. De desbetreffende organisatie moet volgens de AVG ‘passende maatregelen’ treffen om een betrokkene (dat is de persoon waar de persoonsgegevens bij horen) voldoende te informeren. Hoe kan dit dan beknopt zijn als men zoveel informatie moet geven?

Duidelijk en eenvoudig

De manier waarop je de privacyverklaring ‘beknopt’ kan houden is door eenvoudig en duidelijk te schrijven. Veel mensen zullen niet precies weten wat het ‘verzamelen van cookies’ inhoudt. Ook formulieren die gebruikt worden op de website horen op een ‘eenvoudige manier’ gemeld te worden.

Zorg dat de privacyverklaring zichtbaar is op je website

De informatie die je in eenvoudige en duidelijk taal overbrengt moet je schriftelijk of met ‘andere middelen’ (zoals elektronische middelen) verstrekken. Dus, zorg voor een goede privacyverklaring die je bijvoorbeeld onderaan in de footer plaatst zodat je daarnaar kunt linken. Daarnaast is het belangrijk om altijd te linken naar de ‘cookie-instellingen’ op de website, zodat de gebruiker zelf kan beslissen welke data wel én niet verzameld mag worden.

Wat moet er in de privacyverklaring staan?

Om een volledige privacyverklaring op te stellen, zijn er een aantal algemene regels die je moet volgen. Verder bestaan er ook nog een aantal specifiekere regels, bijvoorbeeld wanneer je gevoelige gegevens verzamelt. Maar hier zullen we niet al te diep op in gaan.

Algemene informatie

  • Contactgevens van bedrijf. Bijvoorbeeld de bedrijfsnaam (zoals die is ingeschreven bij de KvK) en de contactinformatie
  • Doeleinden en rechtsgronden voor de verwerking van informatie die verzameld wordt. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief. Je moet alle doeleinden beschrijven.
  • Duur van de opslag. Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.
  • Recht op inzage, rectificatie of wissen van de persoonsgegevens. De betrokkene heeft dit recht en daarover moet je hem/haar in de privacyverklaring informeren. Hierbij kun je meteen vermelden hoe de betrokkene dat verzoek kan indienen.
  • Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Informatie in specifieke gevallen

  • Contactgegevens van de functionaris voor gegevensbescherming. Deze functionaris is een onafhankelijke persoon binnen het bedrijf die adviseert en toeziet op naleving van de privacywetgeving. Wanneer je organisatie deze functionaris heeft, moeten zijn gegevens worden vermeld in de privacyverklaring.
  • Categorieën van ontvangers van de persoonsgegevens.
  • Als gegevens met toestemming (zoals de cookie-toestemming) zijn verkregen, moet je vermelden dat de toestemming ook weer ingetrokken mag worden.

Ben ik nu AVG-proof?

Nee, helaas niet. Alleen de privacyverklaring verstrekken is nog niet voldoende om volledig aan de AVG-wetgeving te voldoen. Je moet bijvoorbeeld ook nog verwerkersovereenkomsten vastleggen met partijen die voor jou ook gegevens opslaan of gebruiken. Verder is een juiste cookie-melding ook van groot belang.

Heb jij hier hulp bij nodig? Check dan hoe wij je kunnen helpen!