AVG (deel 5): Privacyverklaring

Als organisatie ben je verplicht om aan betrokkenen, zoals klanten en medewerkers, te laten weten wat je met hun persoonsgegevens gaat doen en waarom. Dit recht op informatie wordt vaak vormgegeven door een privacyverklaring, bijvoorbeeld gepubliceerd op de website waar de gegevens verzameld worden of opgenomen in het personeelshandboek.

Algemene opmerkingen
Een privacyverklaring is vaak onderdeel van het privacybeleid, maar is niet hetzelfde. Aan de hand van de privacyverklaring kunnen betrokkenen dan, voor zover het gaat om een verwerking waarbij keuzevrijheid bestaat, geïnformeerd beslissen of zij hun gegevens af willen staan. Maar, ook in het geval van verplichte verstrekking van gegevens heeft de betrokkene recht op voorafgaande informatie. Wanneer de gegevens bij de betrokkene zelf worden verzameld, moet de organisatie de betrokkene informeren bij het moment van de verkrijging van de gegevens. Vult de betrokkene bijvoorbeeld een contactformulier in, dan moet bij dat formulier een verwijzing naar de privacyverklaring staan. Krijgt de organisatie de gegevens van een ander dan de betrokkene zelf, dan moet de betrokkene binnen een redelijke termijn na ontvangst van de gegevens geïnformeerd worden over wat de organisatie wanneer en waarom met zijn of haar gegevens doet. Een termijn langer dan één maand na ontvangst is conform de AVG in ieder geval niet redelijk meer, maar de concrete termijn hangt af van alle omstandigheden van het geval.

Volgens het transparantiebeginsel moet de informatie o.a. beknopt, transparant en begrijpelijk zijn. Stel de verklaring daarom in duidelijk en eenvoudig taalgebruik op. Een verklaring moet aansluiten bij de context. Gebruiken kinderen onder de 16 jaar jouw diensten of producten? Dan moet de informatieverstrekking dus aansluiten bij die doelgroep. Je kunt er ook voor kiezen de informatie bijv. in videovorm te verstrekken of korte filmpjes te maken als toelichting op de schriftelijke verklaring.

Het is niet ondenkbaar dat jouw organisatie meerdere privacyverklaringen heeft. Denk bijvoorbeeld aan een interne verklaring over de gegevens die jij van jouw medewerkers verwerkt en een externe verklaring voor websitebezoekers of webshopklanten.

Inhoud van de privacyverklaring
Onderstaande informatie moet verplicht worden verstrekt op grond van de AVG.

• De identiteit en contactgegevens van de organisatie. Indien van toepassing, ook de contactgegevens van de functionaris voor gegevensbescherming (FG) en/of de vertegenwoordiger in de EU.
• De doeleinden en de grondslag van de verwerking, inclusief de eventuele gevolgen voor de betrokkene als de informatie niet verstrekt wordt. Wil je meer lezen over welke doeleinden en grondslagen er zijn? Lees dan de tweede blog in deze reeks.
• De (categorieën van) ontvangers van de persoonsgegevens, bijv. IT-dienstverleners, transportdienstverleners of de salarisadministrateur.
• Informatie over de eventuele doorgifte buiten de Europese Economische Ruimte (EER), inclusief de juridische grond op basis waarvan doorgegeven wordt.
• De bewaartermijn van de gegevens. Dit moet waar mogelijk concreter verwoord worden dan ‘we houden ons aan de wettelijke bewaartermijnen’.
• Informatie over de rechten van betrokkenen en de procedure om deze rechten in te roepen. Onze volgende blog gaat in op alle rechten, houd onze website dus zeker in de gaten.
• De mogelijkheid tot het indienen van een klacht bij de AP.
• Informatie over eventuele geautomatiseerde besluitvorming (bijv. profiling). Maakt jouw organisatie hier gebruik van? Vermeld dan de onderliggende logica, het belang en de gevolgen van de verwerking voor betrokkene. Er blijft altijd een recht op een menselijke blik!
• Heb jij gegevens ontvangen van een andere organisatie? Vermeld dan de (openbare) bron.

De volgende onderdelen zijn niet wettelijk verplicht om op te nemen in de privacyverklaring, maar wel handig om te vermelden. De betrokkene heeft dan een beter beeld van de verwerking(en), zodat een meer geïnformeerde keuze gemaakt kan worden om de gegevens wel of niet te delen met jouw organisatie.

• De (categorieën van) persoonsgegevens die verwerkt worden.
• Het cookiebeleid van je organisatie. Zo’n verklaring is verplicht als jouw organisatie met cookies werkt, maar je mag zelf bepalen of de cookieverklaring wordt samengevoegd met de privacyverklaring. Je kunt in de privacyverklaring ook een korte vermelding van de cookies opnemen en doorverwijzen naar de uitgebreide cookieverklaring.
• Genomen beveiligingsmaatregelen, zoals versleuteling, beperkte toegang tot gegevens (bijv. op “need to know basis”) of afsluitbare kasten bij verwerking van papieren dossiers. Dit hoeft niet in detail uitgewerkt te worden, maar mag op hoofdlijnen.

Uitzonderingen
Een betrokkene hoeft niet altijd geïnformeerd te worden, bijvoorbeeld als hij/zij de informatie al heeft of indien er sprake is van onevenredige inspanning. Verder kunnen in de wet uitzonderingen (zwaarwegende belangen) staan op het recht op informatie, zoals de nationale veiligheid. Er is echter niet snel sprake van een uitzondering.

Heb jij hulp nodig bij het opstellen of controleren van jouw privacyverklaring? Onze specialisten helpen je graag!

Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen. (Lees onze disclaimer).