De 5 meest voorkomende fouten in een privacyverklaring

Image

De Autoriteit Persoonsgegevens heeft aangegeven binnenkort strenger te controleren op het naleven van de AVG. Reden genoeg dus om je privacyverklaring nog eens goed onder de loep te nemen. Deze 5 meest gemaakte fouten helpen je daarbij.

Werkt jouw organisatie met persoonsgegevens? Vast wel. Vrijwel iedere organisatie verzamelt namelijk gegevens van bijvoorbeeld (potentiële) klanten of websitebezoekers. Ook het inzien, opslaan en bewerken van gegevens valt hieronder. Volgens de AVG ben je verplicht betrokkenen te informeren over wat er met hun gegevens gebeurt.

Dat doe je in een zogenoemde privacyverklaring, ook wel bekend onder de naam privacy statement. Hierin informeer je betrokkenen onder andere over waarom hun gegevens worden opgeslagen, hoe lang de data wordt bewaard, met wie jouw organisatie de persoonsgegevens deelt en hoe de beveiliging daarvan geregeld is.

Een privacyverklaring is een belangrijk document, omdat je hiermee als organisatie aan je informatieverplichting voldoet. Daarom gelden er een aantal regels. In de praktijk blijkt dat nog niet alle organisaties op dit vlak aan de privacywetgeving voldoen. Doe daarom je voordeel met onderstaande 5 meest voorkomende fouten in de privacyverklaring.

1. Geen of verkeerde grondslagen

Waarom verwerk je de gegevens? Een essentiële vraag die in de privacyverklaring beantwoord moet worden. Voor het antwoord heb je de keuze uit zes opties, de zogenoemde grondslagen. Deze zijn:

  1. Toestemming van betrokkene;
  2. Voor het uitvoeren van de overeenkomst met betrokkene;
  3. Om te voldoen aan een wettelijke verplichting;
  4. Om het vitaal belang van de betrokkene of een ander natuurlijk persoon te beschermen;
  5. Voor het vervullen van een taak van algemeen belang;
  6. Als het noodzakelijk is ter behartiging van de gerechtvaardigde belangen van verwerkingsverantwoordelijke of van een derde.

Verkoop je een product of dienst? Dan neem je in het statement op dat de betaalgegevens van de klant worden verwerkt om de overeenkomst te kunnen uitvoeren (punt 2). Verzamel je de gegevens alleen om een nieuwsbrief per mail te versturen, dan is je grondslag dat je het e-mailadres op basis van toestemming verzamelt om de nieuwsbrief te kunnen versturen (punt 1).

Let op: je kunt je er niet vanaf maken door een willekeurige grondslag te noemen. Deze grondslag moet natuurlijk ook kloppen. Als je gebruik maakt van de grondslag gerechtvaardigd belang, dan moet je ook motiveren waarom hiervan sprake is.

2. Onjuiste bewaartermijnen

In de privacyverklaring moet ook staan hoe lang je de gegevens bewaart. Wat gelijk de vraag oproept hoe lang dat mag. Helaas staan er geen concrete bewaartermijnen in de AVG. Er staat alleen in dat je de gegevens niet langer mag bewaren dan noodzakelijk is voor het doel waarvoor ze zijn verzameld.

In de nationale wetten staan wel een aantal concrete bewaartermijnen, zoals de fiscale verplichting om facturen 7 jaar (en in sommige gevallen zelfs 10 jaar) te bewaren. Zijn er geen wettelijke bewaartermijnen vastgelegd? Dan dien je zelf vast te stellen hoe lang je de gegevens bewaart en waarom.

Deze bewaartermijn mag je functioneel omschrijven in de privacyverklaring, bijvoorbeeld “tot zes maanden na uw laatste aankoop”. Uiteraard moet je de bewaartermijnen die je noemt ook daadwerkelijk in de praktijk uitvoeren. Zodra de gegevens dus niet meer nodig zijn voor het doel waarvoor ze zijn verzameld, moet je ze verwijderen. Voor veel organisaties betekent dit dat de archieven opgeschoond moeten worden.

3. Onvoldoende aandacht voor andere partijen

Verstrek je de verzamelde gegevens aan andere partijen? Dan ben je verplicht dit te benoemen in de privacyverklaring. Je hoeft geen specifieke namen te noemen (het mag wel). Het is genoeg om categorieën te noemen, bijvoorbeeld “IT-dienstverleners”, “bezorgdiensten” of “betaaldiensten”.

In sommige gevallen worden de gegevens verstrekt aan een ontvanger buiten de Europese Economische Ruimte (EER). Bijvoorbeeld omdat de servers van een IT-dienstverlener in Amerika staan. In dat geval moet je vermelden naar welk land de gegevens worden doorgestuurd, inclusief of dit land adequaat is verklaard of dat er voldoende passende waarborgen zijn genomen. Als dit niet het geval is, mogen er geen gegevens naar landen buiten de EER worden doorgegeven.

Weet u hoe u moet omgaan met direct mail?
Weet u hoe u moet omgaan met direct mail?

4. De rechten van betrokkenen vergeten

Met de komst van de AVG hebben betrokkenen een aantal nieuwe rechten gekregen. Deze rechten moeten in de privacyverklaring staan. Ze hebben het recht:

  • op uitleg over welke persoonsgegevens je hebt en wat ermee wordt gedaan;
  • op inzage in de precieze persoonsgegevens die je hebt;
  • om fouten te laten corrigeren;
  • om persoonsgegevens te laten verwijderen;
  • op beperking van de verwerking van persoonsgegevens;
  • om gegevens in digitaal formaat te krijgen;
  • op intrekken van toestemming;
  • om bezwaar te maken tegen bepaald gebruik.

De betrokkene heeft daarnaast het recht om een klacht in te dienen bij de toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens. Ook dat moet je vermelden in het statement.

En zoals met alles dat in de privacyverklaring staat, geldt ook hier weer dat hetgeen je belooft je ook moet kunnen waarmaken. Zorg dus dat de bedrijfsprocessen erop zijn ingericht om bovenstaande verzoeken te kunnen afhandelen.

5. Geen informatie over cookies

De kans is groot dat je cookies op de website gebruikt. Ook daarover dien je bezoekers te informeren. Dat mag gewoon in de privacyverklaring staan. Je beschrijft welke cookies er worden gebruikt, waarom deze worden gebruikt, wat er precies voor gegevens worden verzameld en hoe lang je deze bewaart.

Het uitgangspunt bij het gebruik van cookies is dat dit alleen mag met toestemming van de websitebezoeker. Je moet dus toestemming krijgen voordat je cookies plaatst. De meest praktische manier is een cookiebanner in beeld laten verschijnen met een toestemmingsbutton. Daarbij is het raadzaam de websitebezoeker informatie te geven over het gebruik van cookies met een link naar de privacyverklaring.

Voor sommige cookies is geen toestemming nodig, omdat ze weinig inbreuk maken op de privacy. Voor Google Analytics hoef je bijvoorbeeld geen toestemming te vragen, mits de instellingen privacy-vriendelijk zijn ingesteld. Hoe je dit kan instellen staat in de handleiding van de Autoriteit Persoonsgegevens.