Maak uw privacyverklaring AVG-proof

Geplaatst op:24 april 2018

In een eerder blog attendeerden wij u al op de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van kracht wordt. Organisaties krijgen vanaf die datum meer verplichtingen. Zo moeten zij transparanter zijn over de persoonsgegevens die zij verzamelen en verwerken. Tijd dus voor een nieuwe privacyverklaring, maar hoe maakt u hem AVG-proof?

 

Wat is de AVG?

De AVG is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR). De AVG is strenger dan de Wbp: burgers krijgen meer en stevigere privacyrechten, organisaties vooral meer verplichtingen. Eén van die verplichtingen is de informatieverplichting.

 

De informatieverplichting uit de AVG

Vrijwel iedere organisatie verzamelt persoonsgegevens. Denkt u daarbij aan namen, adressen, telefoonnummers en email- of IP-adressen (via cookies). Vrijwel alles wat u met die gegevens doet, zoals het opslaan, gebruiken of bewerken ervan, wordt onder de AVG ‘verwerken’ genoemd. En als u persoonsgegevens verwerkt, bent u volgens de AVG verplicht om dat aan degene van wie u de gegevens verwerkt (in de AVG ‘betrokkene’ genoemd) te laten weten.

Een handig middel om dat te doen is met een privacyverklaring. Een privacyverklaring is een document waarin u aan de betrokkene (websitebezoeker of klant) uitlegt welke persoonsgegevens u verzamelt, wat u met die gegevens doet en hoe u de persoonsgegevens beveiligt. Als u een privacyverklaring gebruikt moet deze volgens de AVG toegankelijk, duidelijk en gemakkelijk leesbaar zijn. Daarnaast moet de betrokkene de verklaring kunnen opslaan, bijvoorbeeld om hem later nog eens terug te kunnen lezen.

 

Wat moet u in de privacyverklaring opnemen?

De specifieke inhoud van uw privacyverklaring hangt af van het type persoonsgegevens dat uw organisatie verzamelt en hoe u ze verwerkt. Bepaalde gegevens zijn nu eenmaal gevoeliger dan andere, waardoor u ook strengere waarborgen moet inbouwen. Maar in de basis moet elke organisatie de volgende informatie in de privacyverklaring opnemen:

  • De naam en het adres van uw organisatie.
  • De persoonsgegevens die u verzamelt.
  • Het doel waarvoor u de persoonsgegevens verzamelt. Bijvoorbeeld voor marketingdoeleinden, relatiebeheer en/of voor het uitvoeren van de overeenkomst. Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde voor de uitvoering van de overeenkomst is, moet u ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
  • Aan wie u de persoonsgegevens verstrekt, of wie nog meer toegang hebben tot de gegevens. Bijvoorbeeld hosting bedrijven, Google AdWords, of MailChimp.
  • Hoe lang u de gegevens bewaart. Dit mag niet langer zijn dan voor het doel waarvoor u ze verzamelt nodig is.
  • Hoe de betrokkene gebruik kan maken van het recht op inzage in de gegevens die u verwerkt.
  • Hoe de betrokkene zijn of haar gegevens kan laten corrigeren of verwijderen, of de toestemming voor de verwerking kan intrekken.
  • Hoe de betrokkene gebruik kan maken van het recht van overdracht van zijn of haar gegevens aan een derde partij.
  • Hoe de betrokkenen een klacht kan indienen bij de Autoriteit Persoonsgegevens.

 

Hoe verstrekt u de privacyverklaring?

U moet de informatie schriftelijk of ‘met andere middelen’ verstrekken. Dit kunt u doen door uw privacyverklaring op uw website op te nemen. U kunt dan in andere vormen van (elektronische) communicatie eenvoudig een link naar die pagina opnemen.

Let u wel op: in sommige gevallen is een privacyverklaring niet voldoende. U heeft voor bepaalde gegevensverwerkingen vanaf 25 mei namelijk expliciet toestemming nodig van de betrokkene. Bijvoorbeeld als u persoonsgegevens deelt met derden. U mag daarbij de hokjes voor toestemming niet automatisch aanvinken. De betrokkene moet dit zelf doen (‘opt-in’).

 

Houdt u zich niet aan de informatieverplichting?

De Autoriteit Persoonsgegevens wordt vanaf 25 mei 2018 belast met het toezicht op de naleving van de AVG. Zij krijgen meer bevoegdheden dan onder de Wbp. Houdt uw organisatie zich niet aan de informatieverplichting, of aan andere bepalingen uit de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.

Heeft u vragen over de AVG, of over uw privacyverklaring? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.

Elke werkdag bereikbaar
Stel uw vraag

E-mail specifieke vragen
info@Schravenmade.nl
Bel ons voor al uw vragen: 
0346-55 47 03

Contactinformatie

Bisonspoor 1218
3605 KZ Maarssen
Tel: 0346-55 47 03
Fax: 0346-56 07 64
Info@Schravenmade.nl

Schrijf u in voor onze tweewekelijkse nieuwsbrief

advocaat utrecht high trust
envelopephone-handset
Share This
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram