Om aan de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), te voldoen moet men als ondernemer reeds een aantal stappen hebben genomen. Eén daarvan is het hanteren van een privacyverklaring die aan deze nieuwe wet voldoet. Hoogste tijd dus om hieraan een blog te wijden.
Weet u met welke regels u rekening moet houden?
Het is van uiterst belang dat degene (bijv. uw klant) op wie de persoonsgegevens betrekking heeft, weet wat met zijn/haar gegevens gebeurd. Dit betekent dat u hierover duidelijke informatie moet geven in uw privacyverklaring. Ook bent u verplicht diegene te informeren over zijn/haar rechten. Deze rechten bestaan uit o.a. het recht van klagen en recht van inzage. Dit moet u allemaal in transparante, begrijpelijke en eenvoudige taal uitleggen en daarbij steeds rekening houden met de doelgroep.
De volgende punten dient u op te nemen in uw privacyverklaring:
- De identiteit van uw bedrijf. Denk dan aan: de naam van uw bedrijf, adres en contactpersonen/contactpersoon die zich bezighouden met de privacygerelateerde vragen en melding datalekken binnen uw organisatie. Maar ook uw kvk nr’s, websites, e-mailadressen en telefoonnummer(s) waarop u bent te bereiken.
- De contactgegevens van de functionaris gegevensbescherming. De functionaris gegevensbescherming ofwel FG is een persoon die wordt benoemd om intern toezicht te houden op de naleving van de AVG. Een FG is in principe verplicht in uw organisatie wanneer u op grote schaal en stelselmatig bijzondere gegevens verwerkt. Denk bijvoorbeeld aan medische gegevens. De ‘grote schaal’ is overigens relatief. In de toekomst is het aldus niet ondenkbaar dat u voor uw organisatie toch snel een FG zal moeten aanwijzen. U mag sowieso nu ook al vrijwillig een FG aanwijzen. Mijn advies is om in elk geval iemand binnen de organisatie aan te wijzen die de boel monitort en ook de procedures rondom de datalekken regelt. Als er een FG is binnen uw organisatie, dienen de contactgegevens van deze FG (of op z’n minst een e-mailadres of telefoonnummer dat alleen van de FG is) worden vermeld in de privacyverklaring.
- Het doel voor de verwerking van de persoonsgegevens die u verzamelt. U zult moeten beschrijven voor welke doeleinden u de persoonsgegevens verwerkt. U mag ze dan vervolgens niet voor een ander doeleinde dan dat verwerken. Bijvoorbeeld: u verwerkt de persoonsgegevens enkel om een nieuwsbrief te sturen. Dan mag u met die persoonsgegevens niet ook nog een uitnodiging sturen voor een lezing.
- De grondslag of grondslagen. De AVG kent 6 grondslagen. Om persoonsgegevens te mogen verwerken moet u gebruik maken van een of meer van deze grondslagen. Wanneer dat niet kan, dan mag u de persoonsgegevens ook niet verwerken. Zaak is wel van te voren goed na te gaan welke grondslag of meerdere grondslagen u gebruikmaakt want u mag niet achteraf weer gaan wisselen. De 6 grondslagen zijn:
- Het is noodzakelijk voor de uitvoering van mijn dienstverlening. Denk bijvoorbeeld aan een webshop die de naam en het adres nodig heeft om producten te leveren. Wanneer u de persoonsgegevens alleen maar handig vindt dan mag u deze grondslag niet gebruiken.
- Ik heb een wettelijke verplichting om uw persoonsgegevens te verwerken.Die verplichtingen staan dan in een andere wet. Denk bijvoorbeeld aan facturen of loonadministratie die 7 jaren bewaard moeten worden.
- Om de vitale belangen van een natuurlijk persoon te kunnen beschermen, mogen de persoonsgegevens worden verwerkt. Maar alleen als de verwerking noodzakelijk is om die vitale belangen te beschermen.
- Ik heb een algemeen belang waarvoor de verwerking van deze persoonsgegevens noodzakelijk is. Bijvoorbeeld omdat in een wet een bepaalde taak of verplichting is opgenomen.
- Ik heb toestemming van u gekregen om ze te verwerken. De toestemming moet uitdrukkelijk zijn. Bovendien mag toestemming ook altijd weer worden ingetrokken en moet dit ook net zo gemakkelijk zijn als het geven van de toestemming. Als dat gebeurt en dit is uw enige grondslag dan mag u de persoonsgegevens dus niet meer verwerken. Het is dus raadzaam deze grondslag als vangnet te gebruiken, voor het geval dat u van geen van de andere grondslagen gebruik kunt maken.
- Ik heb een gerechtvaardigd belang bij de verwerking van uw gegevens. Dat kan bijvoorbeeld zijn om fraude of oplichting op te sporen, hier aangifte van te doen, een vordering uit handen te geven of het voeren van een rechtszaak. Dit kan bijvoorbeeld ook worden gebruikt om direct marketing mogelijk te maken. Let wel dat de betrokkene altijd bezwaar mag maken tegen direct marketing en de verwerking dan moet stoppen. U dient een of meerdere van deze grondslagen in uw privacyverklaring te verwerken. Als u nu twijfelt over welke grondslag u moet gebruiken, schakel dan (tijdig) een jurist in.
- Automatische besluitvorming, profilering en/of nieuwsbrief. Wanneer er door uw organisatie gebruik wordt gemaakt van profilering en/of geautomatiseerde individuele beslissingen en/of een nieuwsbrief dan beschrijft u dit in uw privacyverklaring. Ook hier geldt dat de betrokkene weer heel eenvoudig zijn toestemming moet kunnen intrekken. Voor de nieuwsbrief geldt bijvoorbeeld dat de betrokkene zich net zo gemakkelijk als de inschrijving ook weer moet kunnen uitschrijven. Tip: zorg na inschrijving van de nieuwsbrief dat de betrokkene ook nog een ontvangstbevestiging hiervan ontvangt met hierin tevens een link voor uitschrijving. De uitschrijving zou tevens via uw website kunnen plaatsvinden.
- Ontvangers. U dient in uw privacyverklaring te beschrijven welke externe partijen of categorieën partijen (ontvangers) de persoonsgegevens ontvangen. Hieronder vallen bijvoorbeeld verwerkers, andere marktpartijen, groepsmaatschappijen, maar ook overheidsinstanties.
- Doorgifte. U dient te beschrijven of de persoonsgegevens worden doorgegeven naar een land buiten de Europese Economische Ruimte (EER), en als dat zo is, of dat wordt gedaan naar een land waarvoor een “adequaatheidsbesluit” is gegeven en/of dat gebeurt op basis van passende waarborgen. Bij twijfel schakel tijdig een privacy expert in!
- U beschrijft hoe lang de persoonsgegevens worden bewaard of, als het niet mogelijk is om exacte bewaartermijnen te geven, de criteria om vast te stellen hoe lang de persoonsgegevens worden bewaard. NB: U mag in principe zelf weten hoelang u de gegevens bewaart maar u bent wel gebonden aan eventuele wettelijke termijnen (denk bijv.aan fiscale bewaartermijnen) en bewaren mag nooit langer dan voor het doel. Dus bij nieuwsbrieven bijvoorbeeld moet u de gegevens verwijderen nadat de betrokkenen zijn uitgeschreven!
- De rechten van uw bezoeker/klant, de betrokkene. U dient de volgende rechten te beschrijven in de privacyverklaring:
- Recht op inzage, correctie ofEen betrokkene heeft altijd recht op inzage in zijn gegevens. Daarbij kan hij verzoeken om correctie of verwijdering van zijn persoonsgegevens. Verwijdering mag echter alleen als de gegevens niet meer relevant zijn.
- Recht op beperking (ofwel bevriezen gegevens) en overdragen gegevens. Het recht op beperking betekent dat de verwerking van de persoonsgegevens tijdelijk wordt bevroren totdat een bezwaar of geschil is opgelost.
- Recht op bezwaar.
- Recht om vergeten te worden.
- Recht op klagen; een betrokkene moet zijn geïnformeerd hoe hij/zij een klacht kan indienen bij de Autoriteit Persoonsgegevens.
- Recht om toestemming in te trekken. Bij al deze rechten dient u aan te geven hoe de betrokkene hierop een beroep kan doen. Bijvoorbeeld dat dit te allen tijde kan door een e-mail te sturen naar een bepaald e-mailadres.
- Cookies. U dient uit te leggen in de privacyverklaring welke cookies u verzamelt en waarvoor u ze gebruikt. Een algemene toelichting van de cookies in de privacyverklaringis op dit moment nog voldoende. Echter er komt nieuwe wetgeving mbt deze cookies in 2019, waardoor dit niet meer voldoende is! Om vooruit te spelen op deze wetgeving adviseer ik u een lijst van alle cookies die u gebruikt te (laten) maken door degene die uw website heeft gemaakt en deze te plaatsen in uw privacyverklaring of aparte cookieverklaring (waar u wel in uw privacyverklaring naar linkt). Let wel: de cookies veranderen geregeld. Zaak is dus om deze maandelijks te (laten) updaten! De nieuwe wet schrijft voor dat er per cookie een mogelijkheid moet zijn deze uit en aan te zetten en er moet worden aangegeven hoelang deze bewaard wordt.
- Beveiliging. U beschrijft in uw privacyverklaring dat u passende beveiligingsmaatregelen neemt. Eventueel noemt u een aantal voorbeelden.
Mijn tip: De hiervoor genoemde punten moet u schriftelijk in een document verwerken. Overigens het is niet verplicht deze via een schriftelijke privacyverklaring over te brengen maar zeker wel de meest praktische! Immers we leven merendeels in een online wereld waardoor u uw privacyverklaring heel gemakkelijk op uw website kunt plaatsen. Let daarbij wel op dat u “gelijk overkruist” middels bijvoorbeeld een pop-up of vinkje.
Wanneer u geen website heeft en/of overeenkomsten offline aangaat, is mijn advies om een fysieke versie van de privacyverklaring achter (los) of op de achterkant van de overeenkomst te af te drukken, welke overeenkomst de klant tekent. Op de overeenkomst aan klant dient te komen te staan dat zij op de hoogte zijn en akkoord gaan met de inhoud van de privacyverklaring middels ondertekening van deze overeenkomst.