Een goede privacyverklaring maken (GDPR / AVG)
In je privacyverklaring leg je precies uit welke gegevens je verzamelt, waarom je ze verzamelt en wat ermee gebeurd. Daarnaast leg je uit hoe je persoonsgegevens kunt opvragen en hoe je een verzoek kunt doen tot verwijdering of verplaatsing van persoonsgegevens naar een andere partij.
Volgens de eisen van de nieuwe GDPR / AVG wetgeving moet de privacyverklaring moet kort en bondig geschreven zijn in duidelijke en eenvoudige taal voor jouw doelgroep (en minimaal in de taal die ze spreken).
Je privacyverklaring moet schriftelijk of met ‘andere middelen’ (waaronder elektronische middelen) worden verstrekt. Er zijn een aantal algemene gegevens die je verplicht moet opnemen in je privacyverklaring. Verzamel je gevoelige gegevens, dan bestaan er nog wat specifiekere regels. Ook als je de gegevens via derden hebt verzamelt dien je extra informatie te verstrekken.
7 punten die je in je privacyverklaring moet opnemen
- Identiteit
Wie ben je? De bedrijfsnaam (zoals die is ingeschreven bij de KvK) inclusief de contactgegevens en contactgegevens van diegene die over de privacy gaat (functionaris gegevensbescherming indien van toepassing, dit hoeft geen naam te zijn). - Doel
Waar heb je de gegevens voor nodig? Waarom wil je ze verzamelen. Dus doeleinden en rechtsgronden voor de verwerking moeten duidelijk worden omschreven. Dit kunnen natuurlijk meerdere doelen zijn. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief. Je moet alle doeleinden beschrijven. Rechtsgronden zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. - Ontvangers van persoonsgegevens
Je moet omschrijven wie de ontvangers zijn van de opgevraagde gegevens. Werk je met derde samen (bijvoorbeeld Mailchimp) dan moet je dit dus melden in je privacyverklaring. Sla je gegevens op in een database bij een bepaalde hostingpartij, dan moet ook dat worden vermeldt. - Duur van de opslag
Je moet aangeven hoe lang de gegevens bewaard worden. Je mag gegevens niet langer bewaren dan de periode die in lijn ligt met het doel van de verzameling. Als niet bekend is hoe lang je bepaalde gegevens gaat bewaren dan mag je ook omschrijven welke criteria de duur van de opslag bepalen bepalen. - Informeren
Daarnaast moet je voornamelijk informeren en de betrokkene wijzen op zijn of haar rechten en je dient te vermelden hoe de betrokkene een verzoek tot een recht kan indienen.- het recht op inzage
- het recht rectificatie
- het recht op wissen van de persoonsgegevens
- het recht op de overdracht van gegevens
- als de persoonsgegevens worden verwerkt op basis van de toestemming van de betrokken persoon, dat de betrokken persoon het recht heeft de toestemming weer in te trekken. Nieuwe gegevens mogen dan niet meer worden verzameld, de oude gegevens mogen gewoon bewaard blijven voor de aangegeven periode, want deze zijn gewoon rechtmatig verzameld (tenzij er een verzoek tot verwijdering wordt gedaan en het geen wettelijke of contractuele verplichting of een noodzakelijke voorwaarde is)
- het recht dat hij of zij een klacht in kan dienen bij de Autoriteit Persoonsgegevens.
- als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of een noodzakelijke voorwaarde is dan moet dat worden vermeldt, evenals de consequentie van het niet verstrekken van de persoonsgegevens.
- als er sprake is van geautomatiseerde besluitvorming (bijvoorbeeld een krediet check) of profiling (het verzamelen, analyseren en combineren van gegevens met als doel iemand in te delen in een bepaalde categorie of bepaald profiel), dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.
- Gegeven doorgeven buiten Europa
Of de persoonsgegevens worden doorgegeven naar een land buiten de Europese Economische Ruimte, en als dat zo is, of dat wordt gedaan naar een land waarvoor een “adequaatheidsbesluit” is gegeven en/of dat gebeurt op basis van “passende waarborgen” - Niet verkregen van betrokken zelf?
Wanneer gegevens niet van betrokkene zelf zijn verkregen dan dient de bron van de persoonsgegevens vermeldt te worden komen, ook als ze van een openbare bron komen.
Hier vindt je de volledige lijst van onderwerpen die je in je privacyverklaring op dient te nemen.
Wanneer moet je betrokkene informeren
Wanneer verschaf je bovenstaande informatie? Als de betrokkene zelf de gegevens geeft, dan moet je hem of haar daarbij direct informeren, ‘gelijk oversteken’ dus. Krijg je de persoonsgegevens niet van de betrokkene zelf maar via een derde, dan moet je binnen één maand na het krijgen van de gegevens of bij het eerste contact hem of haar informeren.
Als je op basis van toestemming de gegevens verwerkt (dus niet op basis van een wettelijke verplichting of een overeenkomst), dan zul je zelfs nog voor je toestemming krijgt alle informatie moeten verstrekken.
Je moet betrokkenen dus duidelijk en tijdig informeren. Dat hoeft niet persé in een privacyverklaring, maar mag ook op een andere manier. Je moet wel kunnen aantonen dat je duidelijk hebt geïnformeerd en dat je dit in een gemakkelijk en toegankelijke vorm hebt aangeboden.
Hulpmiddelen voor het opstellen van een privacy verklaring
WordPress plugin: Policy Genius (gratis)
De gratis WordPress plugin ‘Policy Genius‘ helpt je in een paar stappen op weg met het opstellen van een privacy-beleid. Let wel op dat dit geen garantie is dat je beleid ook echt op orde is, daarvoor kun je het beste een jurist in de arm nemen.
Wil je een leuk en begrijpelijk voorbeeld van een privacy verklaring, bekijk deze dan eens van Privacyverklaring Coolblue.