AVG: het opstellen van de privacyverklaring

In de vorige blog uit deze blogreeks over de AVG / GDPR wetgeving hadden we het over de belangrijkste verplichtingen die voortvloeien uit de wetgeving en het aanleggen van een register. In dit register neemt u op welke persoonsgegevens verwerkt worden in uw organisatie, met welk doel dit gebeurt en op basis van welke rechtsgrond. Naast dat dit register in vrijwel elke organisatie aanwezig dient te zijn, is dit document ook een goede basis voor het opstellen van de privacyverklaring en daarmee de betrokkenen te informeren over de verwerking van hun gegevens.

De inhoud van de privacyverklaring
De wetgeving vereist transparantie en openheid aan alle betrokkenen, dus ook aan de personen van wie je gegevens verwerkt. Zij hebben namelijk het recht om op de hoogte te zijn van wat er met hun gegevens gebeurt en worden hierover geïnformeerd middels een privacyverklaring. In de wetgeving is bepaalde informatie vastgelegd die de betrokkenen moeten ontvangen en daarmee moeten de volgende items opgenomen worden in de privacyverklaring.

  1. De organisatie die verantwoordelijk is voor de gegevensverwerking moet zich duidelijk kenbaar maken. Dit wil zeggen, met de exacte naam van de organisatie en het volledige adres. Daarnaast moet er een contactpunt vermeld worden met een adres, telefoonnummer of e-mailadres die gecontacteerd kan worden door de betrokkenen. Als er een Data Protection Officer is aangesteld, kan deze vermeld worden met contactgegevens.
  2. Vervolgens volgt het belangrijkste deel van de privacy verklaring, namelijk een opsomming van de verwerkingen van
    persoonsgegevens die gedaan worden. Per doelstelling moet dit in detail uitgewerkt worden. Hiervoor kan geput worden uit het register, waar dit al in is aangegeven.
    –   Met welke bedoeling bepaalde gegevens verzameld worden.
    –   Welke categorieën van gegevens verwerkt worden en over welke                             categorieën van personen het gaat.
    –   Welke verwerkingen er gebeuren.
    –   Op welke rechtsgrond er een beroep gedaan wordt.
  3. Het is belangrijk dat betrokkenen begrijpen waar hun gegevens terecht komen en daarom moet er ook duidelijkheid gegeven worden over de bestemmelingen. Geef aan wie toegang heeft tot de informatie, aan wie de informatie doorgegeven wordt en welke categorieën medewerkers betrokken zijn bij de verwerking. Als er externe partijen (zoals wij) deelnemen aan de verwerking of als de verzamelde informatie aan derden wordt doorgegeven, moet dit ook zeker vermeld worden. Dit kan gedaan worden in algemene bewoordingen als ‘partners’ of ‘zustermaatschappijen’.
  4. Toon vervolgens ook aan dat er voldoende beveiligingsmaatregelen genomen zijn om de vertrouwelijkheid en integriteit van de data te verzekeren. Dit kan gedaan worden door het vermelden van de gevolgde principes en de manier waarop dit intern gewaarborgd wordt. Houdt hiervoor ook onze berichtgevingen goed in de gaten, omdat wij u zoveel mogelijk proberen te voorzien van relevante informatie betreffende alle maatregelen die wij met betrekking tot onze software en ondersteunende diensten treffen.
  5. De wetgeving vereist ook specifiek dat er informatie over de bewaartermijn van gegevens opgenomen wordt in de privacyverklaring. Gegevens mogen namelijk niet langer bewaard worden dan nodig voor het specifieke doel. Zo dient u bijvoorbeeld uw historische ordergegevens voor een periode van 7 jaar te bewaren ten behoeve van de Belastingdienst, maar hoe gaat u bijvoorbeeld om met klantgegevens die niet direct verbonden zijn aan een verkooporder?
  6. Ook de rechten van de betrokkenen moeten opgenomen worden in de privacyverklaring.
    –   Zo kan een betrokkene altijd een klacht indienen bij de Privacy                                   Commissie als hij van mening is dat gegevens onrechtmatig
    verwerkt worden.
    –   Kan de betrokkene bij de verantwoordelijke, de organisatie,                                         informatie opvragen over de verwerking van zijn gegevens en als
    verantwoordelijke moet er uitgelegd worden welke procedure er                               daarvoor gevolgd kan worden.
    –   De betrokkene kan inzage krijgen in de beschikbare informatie en                             deze, als hij dat wil, laten wijzigen of wissen.
  7. Tenslotte moet er kenbaar gemaakt worden of gegevens binnen de EU blijven. Als dit niet het geval is, moet er gespecificeerd worden waar de gegevens naartoe gaan en welke bescherming daar van toepassing is.AVG: transparantie naar alle betrokkenenTransparantie van de privacy verklaring
    Naast dat het belangrijk is om na te denken over wat er in de privacy verklaring staat, is de manier waarop de privacy verklaring kenbaar wordt gemaakt aan de betrokkenen ook van belang. In de AVG wetgeving is hier specifiek aandacht aan besteed, waardoor er rekening gehouden moet worden met de volgende punten:1. De informatie in de privacy verklaring moet verstrekt worden in beknopte vorm en in eenvoudige en begrijpelijke taal; taal die vrijwel iedereen kan verstaan. In Nederland wordt expliciet taalniveau B1 aangeraden, wat het niveau is van het lager onderwijs.2. Extra transparantie kan verkregen worden door een goede structuur van de tekst en door bijvoorbeeld eerst de hoofdlijnen beknopt weer te geven. Vervolgens kun je betrokkenen dan de mogelijkheid geven om door te klikken naar meer informatie.

    3. Vergeet de privacy verklaring niet te dateren en een versienummer te geven. Er kunnen namelijk wijzigingen komen rond de gegevensverwerking die gedaan wordt. De privacy verklaring moet ten alle tijden correcte en actuele informatie bevatten en zal dus regelmatig gewijzigd moeten worden. Houd hiervan ook de betrokkenen op de hoogte, door duidelijk te maken dat de verklaring later kan veranderen.

    4. Zorg ervoor dat de privacy verklaring makkelijk terug te vinden is door de betrokkenen. Het hangt natuurlijk af van de omstandigheden, maar de meest gangbare methode is een link vanaf een website. Daarnaast kan deze natuurlijk ook op papier of mondeling gecommuniceerd worden.

    AVG: privacyverklaring kenbaar maken aan betrokkenen

    Verder zou het niet verkeerd zijn om meerdere privacy verklaringen op te maken die aangepast zijn aan bepaalde doelgroepen. Op die manier wordt ook de lengte van de tekst beperkt, wat de leesbaarheid weer ten goede komt. Denk daarbij ook aan een interne privacy verklaring. Ook binnen organisaties is het namelijk nodig om medewerkers op de hoogte te stellen welke verwerkingen van persoonsgegevens gedaan worden. Er circuleren vaak veel gegevens over personeel rond en sommige daarvan zijn gevoelig. Een interne privacy verklaring kan bijvoorbeeld in het arbeidsreglement opgenomen worden of apart verspreid worden binnen de organisatie.

    Met het opstellen van een goede privacy verklaring, waar nodig voor verschillende doelgroepen, en door ervoor te zorgen dat deze makkelijk terug te vinden is door de betrokkenen bent u al een stap dichter bij transparantie over de verwerkingen die u doet van persoonsgegevens. In de volgende blog zullen we nader ingaan op wat een adequate beveiliging is voor de verzamelde gegevens. Tevens zullen wij op dit punt ook nader ingaan op de aanpassingen die wij hiervoor in onze software door zullen voeren.