De AVG is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR). De AVG is strenger dan de Wbp: burgers krijgen meer en stevigere privacyrechten, organisaties vooral meer verplichtingen. Eén van die verplichtingen is de informatieverplichting.
Vrijwel iedere organisatie verzamelt persoonsgegevens. Denkt u daarbij aan namen, adressen, telefoonnummers en email- of IP-adressen (via cookies). Vrijwel alles wat u met die gegevens doet, zoals het opslaan, gebruiken of bewerken ervan, wordt onder de AVG ‘verwerken’ genoemd. En als u persoonsgegevens verwerkt, bent u volgens de AVG verplicht om dat aan degene van wie u de gegevens verwerkt (in de AVG ‘betrokkene’ genoemd) te laten weten.
Een handig middel om dat te doen is met een privacyverklaring. Een privacyverklaring is een document waarin u aan de betrokkene (websitebezoeker of klant) uitlegt welke persoonsgegevens u verzamelt, wat u met die gegevens doet en hoe u de persoonsgegevens beveiligt. Als u een privacyverklaring gebruikt moet deze volgens de AVG toegankelijk, duidelijk en gemakkelijk leesbaar zijn. Daarnaast moet de betrokkene de verklaring kunnen opslaan, bijvoorbeeld om hem later nog eens terug te kunnen lezen.
De specifieke inhoud van uw privacyverklaring hangt af van het type persoonsgegevens dat uw organisatie verzamelt en hoe u ze verwerkt. Bepaalde gegevens zijn nu eenmaal gevoeliger dan andere, waardoor u ook strengere waarborgen moet inbouwen. Maar in de basis moet elke organisatie de volgende informatie in de privacyverklaring opnemen:
U moet de informatie schriftelijk of ‘met andere middelen’ verstrekken. Dit kunt u doen door uw privacyverklaring op uw website op te nemen. U kunt dan in andere vormen van (elektronische) communicatie eenvoudig een link naar die pagina opnemen.
Let u wel op: in sommige gevallen is een privacyverklaring niet voldoende. U heeft voor bepaalde gegevensverwerkingen vanaf 25 mei namelijk expliciet toestemming nodig van de betrokkene. Bijvoorbeeld als u persoonsgegevens deelt met derden. U mag daarbij de hokjes voor toestemming niet automatisch aanvinken. De betrokkene moet dit zelf doen (‘opt-in’).
De Autoriteit Persoonsgegevens wordt vanaf 25 mei 2018 belast met het toezicht op de naleving van de AVG. Zij krijgen meer bevoegdheden dan onder de Wbp. Houdt uw organisatie zich niet aan de informatieverplichting, of aan andere bepalingen uit de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.
Heeft u vragen over de AVG, of over uw privacyverklaring? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.
Het arbeidsrecht is voortdurend in ontwikkeling. Wetgeving verandert continu, rechtspraak en literatuur geven steeds weer een andere kijk op de zaken.