Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. In dit artikel zullen wij bespreken welke gevolgen dit heeft voor de privacyverklaring ten opzichte van de privacyverklaring ten tijden van de Wet bescherming persoonsgegevens.
AVG-wetgeving
Om de privacyverordeningen in de EU meer gelijk te trekken, is men gekomen met de AVG-wetgeving. In de praktijk beter bekend als de General Data Protection Regulation (GDPR). De AVG-wetgeving geldt voor ieder bedrijf en/of organisatie die persoonsgegevens verzamelt of er in ieder geval mee te maken heeft. Dit zijn zowel de grote corporates, als de startups, de ZZP’ers, stichtingen etc.
De wetgeving ziet niet alleen op de privacyverklaring, maar ook op andere onderdelen binnen bedrijven. In dit artikel zullen wij echter alleen ingaan op welke gevolgen dit heeft voor de privacyverklaring.
Nieuwe privacyverklaring AVG
Ten opzichte van de privacyverklaring ten tijden van de Wet Bescherming Persoonsgegevens (Wbp), verandert er redelijk wat. Het is belangrijk dat degene van wie u de persoonsgegevens verzamelt, weet wat er met deze gegevens gebeurt. Daarnaast komt er bij dat de persoon van wie de persoonsgegevens worden verzameld, over haar rechten wordt geïnformeerd. Deze rechten zijn onder andere recht op inzage en het recht om te klagen bij de Autoriteit Persoonsgegevens. Deze wijzigingen brengen met zich mee dat vrijwel alle bedrijven een nieuwe privacyverklaring dienen op te stellen om te voldoen aan de AVG-wetgeving.
De punten die de privacyverklaring dient te bevatten
Waar onder de oude Wbp-wetgeving slechts over paar punten geïnformeerd diende te worden, dient onder de nieuwe AVG-wetgeving aanzienlijk meer punten te worden behandeld. De volgende punten dienen in ieder geval opgenomen te worden:
- De identiteit van het bedrijf. Onder de identiteit van het bedrijf wordt onder meer de bedrijfsnaam zoals ingeschreven in het KvK-register bedoeld, alsmede de contactgegevens van het bedrijf.
- Rechtsgronden voor de verwerking van de persoonsgegevens. De AVG-wetgeving schrijft zes rechtsgronden voor op basis waarvan bedrijven persoonsgegevens mogen verwerken. In de privacyverklaring neemt u op welke rechtsgrond van toepassing is. Indien u de rechtsgrond ‘gerechtvaardigd belang’ gebruikt, dient u nader te specificeren welk belang dit dan precies is.
- Duur van de opslag van de persoonsgegevens. Het is van belang dat de persoonsgegevens niet langer worden bewaard dan strikt noodzakelijk. U dient dan ook op te nemen voor welke periode u de gegevens bewaard. Het is in strijd met de AVG-wetgeving om simpelweg op te nemen dat u de gegevens ‘oneidig’ of ’tot een niet nader genoemd tijdstip in de toekomst’ zult bewaren.
- Het niet verstrekken van persoonsgegevens. Indien de bezoeker van uw website geen persoonsgegevens wilt verstrekken, dient u in de privacyverklaring te vermelden wat de gevolgen hiervan zijn ingeval van een wettelijke/contractuele/noodzakelijke voorwaarde waar de persoonsgegevens verwerkt voor dienen te worden.
- Recht op inzage, rectificatie of verwijdering van de persoonsgegevens. Degene van wie u de persoonsgegevens heeft verzameld, heeft recht om deze in te zien, te veranderen of zelfs te verwijderen. In de privacyverklaring dient u op te nemen hoe dit door de betrokkene kan worden bewerkstelligd. Indien de persoonsgegevens verkregen zijn met toestemming van de betreffende persoon, dient vermeld te worden hoe deze persoon zijn/haar toestemming kan intrekken.
- Klachtrecht. De verschaffer van de persoonsgegevens heeft het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. U dient in de privacyverklaring te vermelden dat degene dit recht heeft en hoe de klacht kan worden ingediend bij de Autoriteit Persoonsgegevens.
Naast bovenstaande gevallen, dienen de volgende punten in sommige gevallen ook te worden opgenomen in de privacyverklaring.
- Contactgegevens van de Functionaris Gegevensbescherming. De AVG-wetgeving kan organisaties en bedrijven verplicht stellen om een Funcitonaris Gegevensbescherming te hebben. Heeft u bedrijf een Fucntionaris Gegevensbescherming, dan dient u de contactgegevens van deze persoon op te nemen in de privacyverklaring.
- Derden ontvangers van de persoonsgegevens. U verzamelt de persoonsgegevens, maar het kan zo zijn dat voor bijvoorbeeld de uitvoering van de opdracht het noodzakelijk is om deze persoonsgegevens door te spelen aan derden. Welke soort partijen dit zijn, dient u te vermelden in de privacyverklaring. Mogelijk heeft u indien dit het geval is, tevens een bewerkersovereenkomst (onder de AVG-wetgeving draagt het de naam verwerkersovereenkomst).
- Doorgifte aan een ander land. Het is tevens mogelijk dat u de persoonsgegevens bijvoorbeeld opslaat op een server van een bedrijf dat gevestigd is in een ander land dan Nederland. Aangezien dit EU-wetgeving betreft, is het vooral van belang indien het gaat om een land dat gevestigd is buiten de EU. U dient op te nemen om welk bedrijf dit gaat en waar het gevestigd is.
- Profiling en geautomatiseerde besluitvorming. Indien hier gebruik van wordt gemaakt, dient dit te worden vermeld met tevens het doel waarvoor dit wordt gedaan en de gevolgen hiervan. De verschaffer van de persoonsgegevens mag ten alle tijden in bezwaar hiertegen gaan.
- Bron van de persoonsgegevens. Het kan zo zijn dat de persoonsgegevens niet direct van de persoon komen, maar van een derden. Zo kunt u als bedrijf bijvoorbeeld mailinglijsten kopen. U dient te vermelden, tevens als de bron openbaar is, uit welke bron de persoonsgegevens komen.
Begrijpelijke taal
De wet vereist tevens dat privacyverklaring beknopt, transparant, in begrijpelijke en eenvoudige taal en in een toegankelijke vorm is opgesteld. Daarbij is het van belang welke doelgroep uw bezoekers vertegenwoordigen. Indien het om kinderen gaat dient de verklaring in een andere taal te zijn opgeschreven dan wanneer het om professionals gaat. Ongeacht of het om kinderen of om professionals gaat, dient er geen gebruik te worden gemaakt van juridisch jargon. De wet vereist immers dat de privacyverklaring in een begrijpelijke en eenvoudige taal wordt opgesteld.
Overigens hoeft de verklaring niet in schriftelijke vorm te zijn opgesteld. Zo is het, zeker voor kinderen kan dit leuk zijn, mogelijk om het via een video te doen. Wel dient u nog steeds de tekst van de betreffende video te publiceren. Sommige van uw bezoekers kunnen namelijk slecht horend of doof zijn. Daarnaast dient de verklaring ook zeker niet lang te zijn. Lang is zelfs slecht. Het dient zo beknopt mogelijk te zijn.
Informatieplicht
De informatieplicht is een belangrijk onderdeel van de AVG-wetgeving ten aanzien van de privacyverklaring. U dient op het moment van het verkrijgen van de persoonsgegevens, bovenstaande informatie te verschaffen. Hoe vertaalt dit zich in de praktijk? Achteraf, dus direct na het ontvangen van de persoonsgegevens, mag slechts in hoge uitzonderingsgevallen. Operatief gezien is het tevens schijnbaar onmogelijk om de informatie exact tegelijkertijd te verschaffen. De oplossing betreft dus om de informatie vooraf te verschaffen. Dit doet u door de privacyverklaring duidelijk vindbaar op uw website te plaatsen en op punten op uw website waar u de betreffende informatie verzamelt, een (hyper)link naar de privacyverklaring te plaatsen.
Bovenstaande is leuk en aardig indien het duidelijk is op welk moment u de persoonsgegevens ontvangt. In de praktijk zal het echter zijn dat u vaak op onverwachte momenten persoonsgegevens ontvangt. Doordat u wordt gebeld of een e-mail ontvangt bijvoorbeeld. U dient dan de betrokkenen gelijk te informeren over de verwerking van de persoonsgegevens. Tevens is het aan te raden om in de handtekening van uw e-mail een link naar de privacyverklaring op te nemen.
Indien u de persoonsgegevens van een derden ontvangt (dus niet direct van de persoon waar de persoonsgegevens betrekking op hebben), dan dient u binnen 30 dagen na het verkrijgen van de persoonsgegevens (of indien een eerste contactmoment zich als eerste voordoet) de betreffende persoon hierover te informeren.
Gevolgen aan het niet houden aan de AVG-wetgeving?
De gevolgen van het niet correct naleven van de AVG-wetgeving kan desastreus zijn voor elke onderneming. Als ondernemer loopt u het risico op het ontvangen van een boete van maximaal €20 miljoen of ten hoogte van maximaal 4% van de wereldwijde jaaromzet. Dit is fors. Het is daarom van belang dat u een goede privacyverklaring heeft die geheel up-to-date is en dat u uw bezoekers van de website tijdig informeert.
Voorkom een boete en bestel vandaag nog uw privacyverklaring op maat voor slechts 100,-!
