Je zult er vast wel eens van hebben gehoord: de privacyverklaring. De handige manier om aan je informatieplicht te voldoen als bedrijf. Deze informatieplicht is neergelegd in artikel 13 en 14 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”). Hierin staat een hele hoop informatie waar jouw klant recht op heeft wanneer je zijn persoonsgegevens verwerkt. Dan is de privacyverklaring de perfecte tool om aan die informatieverplichting te voldoen.
Los van het feit dat een online privacyverklaring je helpt om te voldoen aan de AVG is het ook een uitgelezen kans om een sterkere vertrouwensband te creëren met jouw klanten. Wil jij weten hoe je een sterke privacyverklaring opstelt voor jouw bedrijf? Lees dan snel mijn tips en tricks hieronder! Op het einde volgt er nog een handige checklist die je gelijk kan toepassen in de praktijk.
1. Beknopt, transparant en volledig
De termen die de AVG en ook de Autoriteit Persoonsgegevens hanteert voor een goede privacyverklaring. Dit voelt erg tegenstrijdig. Je moet kort en bondig jouw klanten informeren, maar dan wel van een stapel informatie om volledig te zijn. Dit is helaas niet te doen in een paar regels. Een prachtige scriptie van tientallen pagina’s is echter ook weer niet nodig. Zorg daarom dat je de juiste middenweg vindt. Dit hangt ook weer af van jouw type onderneming dus zorg dat je van te voren een AVG-compliance check uitvoert. Op deze manier weet je precies welke persoonsgegevens in welke datastromen lopen in jouw bedrijf. Het is lastig informeren als je zelf niet alle informatie helder hebt.
2. Informatie moment
Voordat je persoonsgegevens verwerkt moet je de klanten informeren. Vandaar dat een online privacyverklaring ideaal is. Je kan in je mail of offerte er naar verwijzen. Verder moet je er voor zorgen dat deze makkelijk vindbaar is. Verstop het dus niet ergens op je website of in je algemene voorwaarden, maar zorg dat je deze ziet op jouw homepage.
3. Leesbaarheid
Maak het allemaal niet te juridisch met moeilijke woorden. Ik weet dat het heel vreemd klinkt aangezien ik mijzelf in de voet lijk te schieten, maar het is van groot belang dat de verklaring voor iedereen duidelijk is. Er zijn situaties geweest waarin prachtige verklaringen door de rechter van tafel zijn geveegd aangezien ze niet duidelijk zijn voor de gemiddelde klant. Zorg daarom dat je goed samenwerkt met jouw jurist om tot een compleet juridisch document te komen die leesbaar is voor de klanten.
4. Schrijfstijl
Wanneer je een hip en toegankelijk bedrijf hebt gericht op jongeren dan mag jouw privacyverklaring dat ook uitstralen. Het document moet juridisch kloppen uiteraard, maar dat betekent niet dat je opeens een krankzinnig formele schrijfstijl moet hanteren wanneer jou hele website heel informeel en toegankelijk is. Hierin is het van belang om goed met je jurist de tekst door te nemen. Enerzijds dat het juridisch klopt en anderzijds dat het past bij jouw bedrijf. Beide kanten mogen niet onderschat worden.
5. Wees volledig!
Het lijkt een no-brainer, maar wees volledig. De wet is zeer helder en geeft een opsomming met punten die je moet communiceren met jouw klanten. Zorg er dus voor dat je alle punten in je verklaring verwerkt. Maar wie heeft nou tijd om de AVG door te ploeteren zodat je geen punt vergeet? Juist jij niet en daarom heb ik een handige checklist voor jou gemaakt. Deze kan je gelijk toepassen op jouw bestaande verklaring of gebruiken als leidraad voor je nieuwe verklaring.
De Privacyverklaring checklist
Kort en bondig is natuurlijk mooi, maar er zijn toch een aantal punten die je zeker in je privacyverklaring moet opnemen. Gelukkig heb ik ze hieronder voor je neergezet in de vorm van een checklist. Leg dit document naast je privacyverklaring en start met afvinken!
O Contactgegevens bedrijf
Zet hier je bedrijfsnaam met de contactgegevens. Het zou raar als je op iemand afstapt op straat, al zijn gegevens noteert, en vervolgens wegloopt zonder jezelf voor te stellen. Dat is voor een bedrijf niet anders.
O Contactgegevens van de FG
Wanneer je een FG (Functionaris Gegevensbescherming) in dienst hebt dan moet je zijn contactgegevens ook vermelden in je verklaring. Dit is het aanspreekpunt voor de klant op het gebied van privacy. Een FG is niet altijd verplicht dus geen man over boord als je er geen hebt.
O Redenen om persoonsgegevens te verwerken
Wat is jouw doel en wat ga je met de gegevens doen? Wees hier helder over en geef aan op grond waarvan je deze verwerkt. Het principe van, “voor het geval dat”, gaat echt niet meer op in 2020! Hiervoor moet je dus helder hebben welke rechtsgrond jij hanteert. Denk aan gerechtvaardigd belang, uitvoering van een contract of op basis van toestemming. Je moet deze rechtsgrond helder omschrijven. Kijk ook even naar mijn vorige blog over rechtsgronden als je hier nog aanvullende informatie bij nodig hebt.
O Toestemming kan worden ingetrokken
Dit is ook één van de redenen waarom het niet handig is om alle verwerkingen te baseren op toestemming, maar soms ontkom je er niet aan. Je moet je klant er dus op attenderen dat hij de gegeven toestemming ten allen tijden mag intrekken. Gelijk toelichten hoe dit gedaan kan worden.
O Wees open over de gevolgen
Stel wegens een wettelijke verplichting moet je bepaalde persoonsgegevens verwerken van de klant. Wees hier gewoon open over en geef aan wat de gevolgen zijn als je de persoonsgegevens niet verwerkt. Klanten begrijpen het dan sneller. Wettelijke verplichting moet je uiteraard wel onderbouwen dus zorg wederom dat je rechtsgronden helder zijn.
O Informeer de klant over de privacy rechten
Je moet aangeven dat je klant een verzoek tot inzage, correctie of verwijdering mag indienen. Daarnaast kan een klant altijd een klacht indienen bij de Autoriteit Persoonsgegevens. Dit moet je ook vermelden in je verklaring. Zorg daarom ook dat je processen goed zijn ingericht op dergelijke verzoeken van klanten.
O De bewaartermijnen
Zorg dat je intern je bewaartermijnenbeleid helder hebt en bewaar slechts informatie die echt noodzakelijk is. Als je dit goed in beeld hebt dan communiceer je hoelang je iemand zijn gegevens zal bewaren. Hoe weet je of de gegevens echt noodzakelijk zijn? Stel jezelf de volgende vraag. Heb ik deze informatie echt nodig? Als het antwoord nee is, dan kan je het vernietigen. Dit helpt ook weer bij andere vereisten van de AVG zoals dataminimalisatie en doelmatigheid van verwerkingen.
O Persoonsgegevens verstrekken aan derden
Als je informatie deelt met derden, dan moet je de ontvangers categoriseren. Hier komt je verwerkingsregister goed van pas waarin alle leveranciers staan opgenomen.
O De gegevens worden opgeslagen in het buitenland
Wanneer de persoonsgegevens worden ondergebracht bij buitenlandse servers dan moet je dat vermelden. Als het buiten de EU wordt verwerkt moet je het zeker melden, maar dan komen nog een aantal andere punten om de hoek kijken die net te ver gaan voor deze checklist.
O Geautomatiseerde besluitvorming of profiling
Als jouw bedrijf zich hier mee bezig houdt dan moet je dat vermelden in je verklaring. Geef ook aan waarom dit wordt gedaan en wat de verwachte gevolgen daarvan zijn.
O Geef je bron op
Het kan zijn dat je aan de gegevens komt van je klant voordat je contact met hem hebt gehad. Een derden partij heeft deze aan jou bijvoorbeeld verstrekt. Je moet dan bij het eerste contactmoment aangeven waar je deze gegevens vandaan hebt.
Feedback? Yes please!
Ik hoop dat je veel hebt gehad aan deze blog en de privacyverklaring checklist. Heb je al gebruik gemaakt van de checklist? Stuur mij dan jouw ervaringen. Ik ben altijd op zoek naar verbetering dus jouw feedback wordt zeer gewaardeerd.
Mocht je aanvullende hulp nodig hebben bij het opstellen van één op maat gemaakte privacyverklaring of gebruik willen maken van mijn diensten als privacy jurist? Neem dan contact met mij op via LinkedIn of stuur een mail naar info@kenjouwrecht.nl
Bedankt voor het lezen!
