Met het van kracht gaan van de AVG heb je naast documentatie- en verantwoordingsplicht, ook een informatieplicht. Je moet kunnen aantonen dat je de mensen van wie je persoonsgegevens verzamelt en verwerkt, heel duidelijk geïnformeerd hebt over het hoe en waarom. Dat informeren kan op allerlei manieren, maar een privacyverklaring is de meest eenvoudige oplossing.
Privacyverklaring: beknopt, transparant en begrijpelijk
Een privacyverklaring die voldoet aan de AVG-regels is veel uitgebreider dan degene die je nu gebruikt. Daarnaast moet de verklaring heel transparant en beknopt zijn. En tegelijkertijd opgesteld zijn in duidelijke en eenvoudige taal, afgestemd op jouw doelgroep. Het streven hierbij is taalniveau B1. Mocht je doelgroep uit kinderen bestaan, dan moet de taal in je privacyverklaring extra eenvoudig te begrijpen zijn. Hou je zinnen in ieder geval kort en maak teksten niet onnodig lang.
De privacyverklaring in het kort
In je privacyverklaring leg je precies uit welke persoonsgegevens je verzamelt en op basis van welke grondslag je dat doet. Je vertelt met welk doel je de gegevens verzamelt en waar je ze specifiek voor gebruikt. Kortom, je legt er alles in vast wat te maken heeft met het verzamelen en verwerken van persoonsgegevens binnen jouw onderneming. Deze privacyverklaring kun je op je site plaatsen zodat het makkelijk te vinden is. Je kunt de link naar je privacyverklaring gebruiken in formulieren op je site, maar ook in andere communicatiemiddelen die je gebruikt.
Wat moet er in je privacyverklaring komen te staan?
De precieze inhoud van een privacyverklaring is natuurlijk voor elke ondernemer en voor elk bedrijf verschillend, maar de volgende lijst aan informatie moet je erin opnemen:
1- De contactgegevens
Allereerst vermeld je de naam van je bedrijf zoals je het hebt ingeschreven bij de Kamer van Kooophandel en de naam en contactgegevens van de persoon die verantwoordelijk is voor het verwerken van persoonsgegevens. Bij eenmanszaken ben jij dat, bij grotere ondernemingen is het verstandig om daar een verantwoordelijke voor aan te wijzen. Mocht je werken met een Functionaris Gegevensverwerking, dan neem je ook de gegevens van deze functionaris mee.
2- Welke persoonsgegevens je verzamelt en waarom
In je privacyverklaring vertel je welke persoonsgegevens je verzamelt, op basis van welke juridische grondslag je dit doet en voor welk doel je de verzamelde gegevens zult gebruiken. Het doel kan het versturen van een nieuwsbrief zijn of een andere marketingactie, maar ook het uitvoeren van een overeenkomst. Je moet alle doeleinden beschrijven.
3- De bewaartermijnen
Per gegevenssoort geef je aan hoe lang je gegevens bewaart of welke criteria je gebruikt om te bepalen hoe lang het opgeslagen zal worden. Dat kan heel concreet zijn: facturen met persoonsgegevens moet je voor de Belastingdienst 7 jaar bewaren. Bij andere bewaartermijnen zul je zelf moeten bedenken hoe lang.
Je mag gegevens net zolang bewaren als noodzakelijk is voor je dienst of product of zolang er een relatie is met de betrokkene. Je kunt de bewaartermijn dan ook in abstractere termen omschrijven als je niet precies weet hoe lang je de gegevens zult bewaren. Bij de gegevens voor het versturen van een nieuwsbrief zou je de bewaartermijn als volgt kunnen omschrijven: “We zullen je gegevens bewaren zolang je staat ingeschreven voor onze nieuwsbrief”
4- Derde partijen die de persoonsgegevens verwerken
In je privacyverklaring neem je ook op welke andere partijen de door jouw verzamelde gegevens in kunnen zien. Dat kunnen samenwerkingspartners zijn, maar ook je boekhouder of de aanbieder van het online boekhoudprogramma dat je gebruikt, de mailprovider waarmee je nieuwsbrieven verstuurt, de hostingservice voor je site, de betaaldienst waarmee je producten gekocht worden en Google Analytics. Maar ook Facebook, wanneer je een gerichte advertentiecampagne start en een lijst met persoonsgegevens importeert.
Deze derde partijen zijn verantwoordelijk voor hoe zij omgaan met jouw gegevens. Jij moet als eindverantwoordelijke wel weten hoe zij met de gegevens omgaan door verwerkersovereenkomsten met hen af te sluiten. Verstrek je de verzamelde persoonsgegevens aan een ‘derde’ land, omdat bijvoorbeeld de servers in een ander land staan, dan moet je dat vermelden in je privacyverklaring. Je moet dan ook vertellen of het land, net als alle EU-lidstaten, voldoet aan de AVG en of er passende maatregelen zijn genomen om de gegevens te beschermen volgens de AVG.
5- De rechten van mensen, de ‘natuurlijke personen’, wat betreft de gegevensbescherming
Je moet in je privacy statement vertellen dat mensen het recht hebben op inzage, rectificatie of het verwijderen van de persoonsgegevens. Je vermeldt ook hoe zij dit verzoek kunnen doen. Dat kan vrij makkelijk geregeld worden door bijvoorbeeld te vragen een mail te sturen naar een bepaald adres.
Daarnaast hebben ‘natuurlijke personen’ ook het recht op overdragen van hun gegevens: zij mogen hun gegevens opvragen als zij die door willen geven aan een andere partij. Ook hierbij vertel je hoe ze dit kunnen doen.
Als je gebruik maakt van profilering of geautomatiseerde besluitvorming, moet je dat vermelden in je privacy verklaring. Als je gegevens gebruikt die je via een andere organisatie of uit openbare bronnen hebt gekregen, vertel je de bron waar de persoonsgegevens vandaan komen.
6- De mogelijkheid om bezwaar te maken
In je privacyverklaring vermeld je dat mensen bezwaar kunnen maken tegen het verwerken van hun persoonsgegevens. Je moet ze de mogelijkheid geven om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP) met een link naar de site van de AP.
7- Verplichting vs gevolgen
Je moet in je privacyverklaring vertellen of het geven van de persoonsgegevens een contractuele of wettelijke verplichting is en of het noodzakelijk is voor bijvoorbeeld het afsluiten van een overeenkomst. Daarnaast moet je ook de gevolgen vermelden als iemand de gegevens niet geeft. Een webwinkel kan bijvoorbeeld geen orders versturen zonder een naam of een adres.