privacy verklaring statement dna ltb

Wat moet er in je privacyverklaring staan?

Vanaf 25 mei 2018 ben je verplicht te vermelden wat je met persoonsgegevens doet.

We kunnen het niet vaak genoeg zeggen: het is sneller 25 mei 2018 dan je denkt. En dan moeten er omtrent het verwerken van data en het ondernemen van marketingactiviteiten toch echt een paar zaken geregeld zijn. Doe je dat niet? Dan riskeer je een fikse boete. Het is dus niet alleen in het belang van de betrokkene dat je duidelijk bent over wat je met de persoonsgegevens doet.

Een belangrijk onderdeel van AVG is je privacyverklaring. Dit is eigenlijk niet meer dan een document waarin je omschrijft welke gegevens je verzamelt en wat je daarmee doet. Een privacyverklaring moet schriftelijk worden vastgelegd en moet in begrijpelijke taal worden omschreven.

De privacyverklaring bevat in ieder geval een aantal algemene gegevens. Als je gevoelige informatie verzamelt moeten er nog een aantal specifieke regels aan worden toegevoegd. Heb je gegevens via een derde partij ontvangen? Dan moet je dit ook expliciet vermelden.

Checklist privacyverklaring:

Algemene informatie

  • IDENTITEIT
    Je moet je bedrijfsnaam vermelden, inclusief de adresgegevens en een contactadres voor privacy gerelateerde vragen.
  • DOELEINDEN
    Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief. Je moet alle doeleinden beschrijven.
  • RECHTSGRONDEN
    Rechtsgronden zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
  • GEBRUIK VAN COOKIES
    Als jouw website cookies gebruikt (wat vrijwel altijd zo is), dan ben je verplicht uit te leggen wat cookies zijn en wat je daarmee doet.
  • NIEUWSBRIEVEN
    Als klanten op nieuwsbrieven geplaatst worden, moeten ze daar expliciet toestemming voor gegeven hebben. Ook moet er in elke nieuwsbrief staan hoe men er weer vanaf komt.
  • INZAGE EN CORRECTIE
    De betrokkene heeft het recht om gegevens in te zien en te wijzigen en daarover moet je hem/haar informeren. Hierbij kun je meteen vermelden hoe de betrokkene dat verzoek kan indienen.
  • BEVEILIGING
    Je moet toelichten welke technische en organisatorische maatregelen je hebt genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Bij het plaatsen van bestellingen is het bijvoorbeeld nodig dat je de internetverbinding beveiligt met SSL. Maar denk ook aan wachtwoorden op de database zelf.
  • DUUR
    Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.

Alleen wanneer van toepassing op de wijze waarop jij gegevens verwerkt of opslaat:

  • Contactgegevens van de Functionaris Gegevensbescherming.
  • ONTVANGERS
    Je moet vermelden aan wie de gegevens worden doorgegeven. Bijvoorbeeld omdat de gegevens bij dienstverleners worden opgeslagen, maar ook als gegevens worden verzameld en aan een partner worden doorgegeven. Soms volstaat het om alleen de categorie te noemen (zoals ‘betaaldiensten’), maar vaak zul je de specifieke partij moeten noemen.
  • DERDEN
    Worden de gegevens aan een ‘derde land’ verstrekt, bijvoorbeeld omdat de servers in een ander land staan, dan moet je dat ook vermelden. Daarbij moet je ook vermelden of het land adequaat is verklaard (dit zijn in elk geval alle landen in de EU) of dat er passende waarborgen zijn getroffen. Het is belangrijk dat er in een ander land niet makkelijker omgegaan mag worden met persoonsgegevens.
  • INTREKKEN TOESTEMMING
    Als gegevens met toestemming zijn verkregen, moet je vermelden dat de toestemming ook weer ingetrokken mag worden.
  • PROFILING
    Als er sprake is van geautomatiseerde besluitvorming of profiling, dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.

Wanneer gegevens niet van betrokkene zelf zijn verkregen

  • BRONVERMELDING
    De bron waar de persoonsgegevens vandaan komen, ook als ze van een openbare bron komen.

Wanneer verschaf je bovenstaande informatie?

Als de betrokkene zelf de gegevens geeft, dan moet je hem/haar daarbij direct informeren. Krijg je de persoonsgegevens niet van de betrokkene zelf, dan moet je hem/haar binnen een maand na het krijgen van de gegevens of bij het eerste contact (zoals via direct marketing) informeren.

Als je op basis van toestemming de gegevens verwerkt (dus niet op basis van een andere grondslag, zoals een wettelijke verplichting of een overeenkomst), dan zul je zelfs nog voor je toestemming krijgt alle informatie moeten verstrekken. Een voorbeeld: je wil graag gegevens verzamelen van geïnteresseerde personen (bijvoorbeeld om ze nieuwsbrieven te kunnen versturen). Dan heb je toestemming nodig voor het verzamelen van namen en adresgegevens. Bij het invulformulier plaats je een link naar de privacyverklaring. Op deze manier is de betrokkene al geïnformeerd voordat hij/zij de persoonsgegevens in het formulier invult.

Wij helpen je graag bij het opstellen van de privacy verklaring en het zorgen dat jouw organisatie klaar is voor GDPR / AVG. Meer weten? Neem contact op met onze specialist of download de whitepaper.

Bekijk hier onze privacyverklaring ter inspiratie.

Photo by Yannik Wenk on Unsplash

DOWNLOAD AVG / GDPR GUIDE

This post is also available in: Engels