Volg Software Zaken

Wat zet je in een privacyverklaring

| Joost Krapels | Privacy

Het opstellen van een privacyverklaring is een belangrijke stap om te voldoen aan de informatieplicht uit de AVG. In dit artikel leggen wij uit welke informatie je moet delen om aan deze eis uit de privacywetgeving te voldoen, en wat een goede opzet is voor een privacyverklaring of privacystatement. 

De informatieplicht

De informatieplicht wordt ook wel het Recht op Informatie genoemd. Het is een eenzijdige verplichting voor bedrijven, afkomstig uit de Algemene Verordening Gegevensbescherming (AVG). De plicht vloeit voort uit het recht van betrokkenen om informatie over de verwerking van persoonsgegevens op te kunnen vragen. De informatieplicht geldt voor alle bedrijven die persoonsgegevens verwerken, groot en klein. In de praktijk wordt deze plicht vaak vervuld door een privacyverklaring (of privacy statement) op de website te publiceren en (toekomstige) klanten hierop te attenderen.

Hoe mag deze informatie beschikbaar gesteld worden?

De term privacy-verklaring, ook wel privacy-statement, is een veelgebruikte term voor het voldoen aan de informatieplicht. De AVG zelf spreekt echter niet over privacyverklaringen, en zelf niet over de informatieplicht. De term informatieplicht komt uit de Handleiding AVG, een beknopte maar volledige uitleg van de AVG, geschreven door het Ministerie van Justitie en Veiligheid en de Autoriteit Persoonsgegevens. De AVG geeft alleen aan dat de informatie schriftelijk, elektronisch, en zelfs mondeling verstrekt mag worden. Inmiddels is er in 2023 een nieuwe versie uitgekomen van deze AVG handleiding. De verschillen zijn besproken in het volgende artikel: Update handleiding AVG: wat is er precies veranderd?

Het verstrekken van de informatie mag dus op meerdere manieren, maar moet wel passen bij de aard van de verwerking. In de praktijk is een goed te vinden privacyverklaring op de website vaak voldoende. Het is wel een harde eis dat de informatieverstrekking in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal gebeurt.

Wanneer moet de informatie beschikbaar gesteld worden?

Betrokkenen moeten op de hoogte worden gesteld van de verwerking voordat deze daadwerkelijk plaatsvindt. Bij bedrijven met processen die al voor 25 mei 2018 liepen is dit voor huidige klanten natuurlijk onmogelijk, maar daar volstaat een duidelijke communicatie over de privacyverklaring naar deze huidige betrokkenen. Nieuwe betrokkenen zullen echter wel voor de verwerking op de hoogte gesteld moeten worden. De eenvoudigste manier om dit te doen is betrokkenen laten bevestigen dat zij de privacyverklaring gelezen hebben en er mee akkoord gaan alvorens hun gegevens te verzamelen. Ook bij het verwerken van dezelfde persoonsgegevens voor een nieuw doel dienen betrokkenen op de hoogte gesteld te worden.

De informatie hoeft niet beschikbaar gesteld te worden als de betrokkenen al op de hoogte zijn van de informatie, als het onevenredig ingewikkeld is om de betrokkenen te bereiken, of als er zwaarwegende belangen spelen waardoor betrokkenen niet geïnformeerd mogen/kunnen worden.

Aangezien de informatieplicht voor betrokkenen het recht op informatie is, gelden hier ook dezelfde regels voor. Een verzoek om informatie over de verwerking te ontvangen moet kosteloos ingewilligd worden, tenzij het verzoek ongegrond of buitensporig is. In ons eerdere artikel over Privacyklachten onder de AVG bespraken wij al wat te doen als er geen gehoor wordt gegeven aan de verzoeken.

Wat moet er bekend gemaakt worden?

Bedrijven zijn verplicht minimaal het volgende bekend te maken aan hun betrokkenen:

  • Wij zij zijn en hoe er contact opgenomen kan worden;
  • Welke gegevens hoe, onder welke grondslagen, voor welke doelen verwerkt worden;
  • Naar welke partijen en landen de gegevens gaan en onder welke waarborgen;
  • Welke rechten betrokkenen hebben.

Als de gegevens niet direct bij de betrokkenen verzameld zijn, dienen bedrijven ook de bron waaruit de persoonsgegevens zijn verkregen te vermelden. Als de bron niet kan worden vastgesteld voldoet een omschrijving ook. Aangezien de gegevens niet bij de betrokkenen zelf verzameld zijn, kunnen dezen vaak niet geïnformeerd worden voor de daadwerkelijke verwerking plaatsvindt. In deze gevallen moet het informeren z.s.m. plaatsvinden, maar maximaal 30 dagen nadat de gegevens ontvangen zijn.

Al het bovenstaande is wat er minimaal gecorrespondeerd moet worden. Aangezien betrokkenen privacy steeds belangrijker gaan vinden, is het verstandig om zo transparant mogelijk te zijn in het uitleggen van de verwerkingen. Dit voorkomt een hoop vragen en straalt een geruststellend beeld uit. Als voorbeeld kunt u onze privacyverklaring bekijken, deze bevat alle verplichte elementen.

Voor het nalopen van privacyverklaringen gebruiken wij zelf een simpel template met alle verplichtingen, rechtstreeks afkomstig uit de wet. Het template mag en kan door iedereen gebruikt worden.

Tot slot nog een paar leuke privacyverklaringen om te bekijken:

Discussie

Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL’.  Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging. Voor meer artikelen over privacy, kijk dan op onze pagina met alle privacy-artikelen.

Image credit: @romankraft via Unsplash

Author: Joost Krapels
Joost Krapels MSc. heeft zijn BSc. in Artificial Intelligence en zijn MSc. in Information Sciences gehaald aan de VU Amsterdam. Bij ICT Institute adviseert hij over informatiebeveiliging (CISSP, Security+, IRCA/CQI Lead Auditor), privacy (CIPP/E), praktisch toepassen van de AVG, en voert hij IT Due Diligence onderzoek uit.