Privacyverklaring

Veel organisaties verwerken gegevens die te herleiden zijn tot personen, zoals e-mailadressen, financiële gegevens en gegevens over het zoekgedrag op internet. De Algemene Verordening Gegevensbescherming (AVG) geeft organisaties de plicht om zorgvuldig met deze persoonsgegevens om te gaan.

Elke organisatie die persoonsgegevens verwerkt, is verplicht een privacyverklaring op te stellen. Voor wie is zo’n verklaring belangrijk? Aan welke eisen moet een privacyverklaring voldoen? En wat zijn de consequenties als een privacyverklaring ontbreekt?

Wat is een privacyverklaring?

Een privacyverklaring (of privacy statement) is bedoeld om degenen van wie persoonsgegevens worden verwerkt, te informeren over wat er met hun gegevens gebeurt en met welk doel. Een privacyverklaring wordt meestal op de website van de verwerker gepubliceerd, maar kan ook als een fysiek document worden aangeboden. Bijvoorbeeld aan leveranciers of klanten. Voor verwerkingen van persoonsgegevens van werknemers wordt een interne privacyverklaring opgesteld.

Is een privacyverklaring verplicht?

Ja. Elke organisatie die persoonsgegevens verwerkt, heeft op grond van de Algemene verordening gegevensbescherming (AVG) een informatieplicht. Dit wil zeggen dat betrokkenen duidelijk geïnformeerd moeten worden over wat er met hun gegevens gebeurt.

Wanneer is sprake van een verwerking van persoonsgegevens?

Met persoonsgegevens wordt alle informatie bedoeld die over een natuurlijk persoon gaat of naar deze persoon te herleiden is. Onder persoonsgegevens vallen dus ook gegevens die indirect naar een persoon te herleiden zijn, zoals kentekens. Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, worden beschouwd als verwerking. Denk aan het verzamelen van persoonsgegevens, maar bijvoorbeeld ook aan het opslaan, beschikbaar stellen, verspreiden, raadplegen, vernietigen en samenbrengen ervan. Een verwerking van persoonsgegevens moet rechtmatig zijn: voor een verwerking is een wettelijke grondslag (uit de AVG) nodig.

Voor wie is een privacyverklaring van belang?

Een privacyverklaring is in de eerste plaats van belang voor de persoon die zijn of haar gegevens verstrekt en wil weten wat er met zijn gegevens gebeurt. Waarom worden de gegevens opgeslagen, hoe lang worden de data bewaard, met wie worden de gegevens eventueel gedeeld en hoe is de beveiliging geregeld? Op basis van deze informatie kan de betrokkene beslissen of hij zijn persoonsgegevens met de organisatie wil delen of niet. Daarnaast is een privacyverklaring belangrijk voor de organisatie die de persoonsgegevens verwerkt, om aan te kunnen tonen dat de organisatie voldoet aan haar informatieplicht.

Waar moet een privacyverklaring aan voldoen?

De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie. Zo moet de informatie over de gegevensverwerking beknopt, transparant en begrijpelijk zijn.

Welke informatie moet er in een privacyverklaring staan?

Op de website van de Autoriteit Persoonsgegevens staat een opsomming van informatie die in ieder geval in de privacyverklaring te vinden moet zijn, zoals:

  • wat de contactgegevens zijn van de organisatie;
  • welke persoonsgegevens de organisatie verwerkt;
  • voor welk doel en om welke reden (grondslag) dit gebeurt;
  • of de persoonsgegevens worden gedeeld met andere organisaties;
  • hoe lang de gegevens worden bewaard.

Hoe moet een privacyverklaring worden aangeboden?

Als u persoonsgegevens verwerkt, bent u verplicht om de betrokkenen van tevoren te informeren over wat er met hun gegevens gebeurt. De wijze waarop u hen informeert, mag u zelf bepalen. Het is aan te raden om een privacyverklaring schriftelijk aan te bieden, zodat u richting de toezichthouder (de Autoriteit Persoonsgegevens) kunt aantonen dat u voldoet aan uw informatieplicht. In de praktijk wordt een privacyverklaring meestal online gepubliceerd, bijvoorbeeld in de header of footer van een website.

Wat zijn veelgemaakte fouten of veelvoorkomende misverstanden?

Sommige organisaties vragen bezoekers van hun website om akkoord te gaan met de privacyverklaring. Dit is een misverstand. De privacyverklaring is puur informatief. Een akkoord is dus niet nodig. Andere veelgemaakte fouten zijn: geen of verkeerde grondslagen vermelden voor de verwerking, onjuiste bewaartermijnen opnemen en de rechten van betrokkenen vergeten. Wilt u uw privacyverklaring nog eens goed onder de loep nemen? Bekijk de 5 meest gemaakte fouten in een privacyverklaring.

Wat kunnen de gevolgen zijn als een privacyverklaring ontbreekt?

Verwerkt uw organisatie persoonsgegevens, maar voldoet u niet aan uw informatieplicht? Dan overtreedt u de AVG. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de AVG. Bij een overtreding kan zij handhavend optreden, bijvoorbeeld door een boete op te leggen. Daarnaast kan een betrokkene bij de AP een klacht indienen over de verwerking van zijn persoonsgegevens. 

Hulp nodig?

Wilt u zeker weten dat u voldoet aan uw informatieplicht op grond van de AVG? Onze ervaren specialisten helpen u graag bij het opstellen van een privacyverklaring en de overige stappen die u kunt zetten om te voldoen aan de privacywetgeving.

Download de gratis e-paper: Zo voldoet u aan de privacywet