De privacyverklaring

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten bedient? Dan verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt de verplichting tot het opstellen van een privacyverklaring besproken.

Informeren van de betrokkene

Onder de AVG is de verwerkingsverantwoordelijke verplicht de betrokkene te informeren over het feit dat persoonsgegevens worden verwerkt en de reden daarvoor (zie voor de uitleg van deze begrippen deze blog). Het meest gebruikelijk is om de betrokkene te informeren via een privacyverklaring.

De verplichting tot het informeren van de betrokkene bestond al onder de Wet bescherming persoonsgegevens (Wbp), maar in de AVG staat een uitgebreide opsomming van alle informatie die aan de betrokkene dient te worden verstrekt. De opsomming in de Wbp was veel summierder.

Inhoud privacyverklaring

Volgens de AVG dient ten eerste aan de betrokkene duidelijk te worden gemaakt wie de verwerkingsverantwoordelijke is. Vervolgens moet worden uitgelegd voor welke verwerkingsdoeleinden en op basis van welke rechtsgronden de gegevens worden verwerkt (zie voor meer informatie over deze begrippen deze blog). Het moet duidelijk zijn aan welke andere partijen de gegevens worden verstrekt (wie de ‘ontvangers’ zijn) en of een dergelijke partij zich buiten Europa bevindt (want dan gelden aanvullende eisen). Tot slot moet worden aangegeven hoe lang de persoonsgegevens worden bewaard en dient aan de betrokkene te worden uitgelegd welke rechten hij/zij kan inroepen in verband met de verwerking van de persoonsgegevens. Eén van die rechten betreft het maken van bezwaar tegen de verwerking. Dit recht moet uitdrukkelijk onder de aandacht van de betrokkene worden gebracht en duidelijk en gescheiden van andere informatie worden weergegeven.

Voorgaande informatie moet in een beknopte, transparante, begrijpelijke en gemakkelijke toegankelijke vorm en in duidelijk en eenvoudige taal worden verstrekt. De wijze waarop de privacyverklaring wordt verstrekt, is afhankelijk van de groep betrokkenen op wie de verklaring betrekking heeft. Voor bezoekers van een website waarvan op enig moment persoonsgegevens worden verwerkt (denk bijvoorbeeld aan inlog-/accountgegevens of het invullen van een contactformulier) is het meest voor de hand liggend dat de privacyverklaring op de website terug te vinden is. Voor een (nieuwe) werknemer is het meest logisch de verklaring te vertrekken op het moment dat wordt gevraagd om zijn/haar gegevens zodat deze in het systeem van de werkgever kunnen worden gezet. Hoe dan ook is het van belang dat de informatie niet later wordt verstrekt dan het moment waarop de persoonsgegevens worden verkregen.

Verantwoordingsplicht

Met het opstellen van een privacyverklaring wordt voldaan aan de verplichting de betrokkene te informeren over de verwerking van persoonsgegevens. Tegelijkertijd biedt het de mogelijkheid voor de verwerkingsverantwoordelijke te voldoen aan haar verantwoordingsplicht. Op basis hiervan dient te worden aangetoond dat is voldaan aan de beginselen inzake de verwerking van persoonsgegevens. Deze beginselen schrijven onder andere voor dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en dat de hoeveelheid persoonsgegevens die wordt verwerkt toereikend is en ter zake dienend. Een ander beginsel is dat gegevens niet langer mogen worden bewaard dan noodzakelijk. Door het opstellen van een privacyverklaring kan de verwerkingsverantwoordelijke aantonen dat aan de beginselen is voldaan. Daarnaast fungeert het opstellen van een privacyverklaring ook als checklist; kan de verwerkingsverantwoordelijke niet goed uitleggen waarom bepaalde gegevens worden verwerkt of op welke wijze, dan dient te worden nagegaan of de verwerking wellicht privacy vriendelijker kan (door bijvoorbeeld minder persoonsgegevens te verwerken).

Tot slot

Met deze blog hebben wij een korte introductie willen geven over de verplichting tot het opstellen van een privacyverklaring. Het opstellen hiervan vereist een goede voorbereiding en een inventarisatie van alle gegevens die binnen een bedrijf worden verwerkt. Heeft u vragen over het opstellen van een privacyverklaring en/of de AVG? Wij beantwoorden deze graag. Neem contact op met Jennifer Quik (j.quik@vandiepen.com).

 

Gerelateerde artikelen