Het hebben van een privacyverklaring is verplicht volgens de AVG. Het is niet zomaar een documentje, het moet altijd aan voorwaarden voldoen die in de AVG staan vermeld. Er worden echt ontiegelijk veel fouten gemaakt in privacyverklaringen – vaak omdat mensen ze zelf maken of uit een generator laten rollen. In dit artikel bespreek ik veelgemaakte fouten.
Dit is geen onbelangrijke vraag, omdat mensen vaak een verkeerd beeld hebben bij de aard van een privacyverklaring. Een privacyverklaring is een eenzijdig document waar informatie in staat over hoe jouw bedrijf met persoonsgegevens omgaat. Met eenzijdig bedoel ik: niemand hoeft er akkoord op te geven. Logisch, want het is alleen informatie.
Zoals eerder gezegd, moet deze privacyverklaring aan een aantal eisen voldoen. Deze staan allemaal opgesomd in de AVG.
De AVG kent een paar beginselen waar je altijd rekening mee moet houden bij het verwerken van persoonsgegevens. Één daarvan is het transparantiebeginsel. Dit beginsel houdt in dat persoonsgegevens moeten worden verwerkt op een manier die ten aanzien van de betrokkene transparant is. De “betrokkene” is degene waarvan je persoonsgegevens verwerkt. Dat houdt ook in dat transparant moet zijn hoe persoonsgegevens worden verwerkt. En daar is de privacyverklaring voor. Zodat mensen een inzage hebben.
Een FG is een onafhankelijk persoon die ziet op de naleving van de AVG binnen een bedrijf. Jezelf aanwijzen als je zzp’er bent, kan dus niet. Daarnaast: een FG is alleen in sommige gevallen verplicht.
Volgens de AVG moet je in je verklaring je verwerkingsdoeleinden noemen, de rechtsgrond voor verwerking en de bewaartermijn. Als eerst: Wat betekenen al die dingen? Een verwerkingsdoeleinde is het doel waarom je bepaalde persoonsgegevens verwerkt. Denk aan: nieuwsbrieven versturen, of contact opnemen. Verder staan er in de AVG zes grondslagen waarop je je verwerking mag baseren. De bekendste daarvan is de grondslag “toestemming”. De bewaartermijn is de termijn dat je de persoonsgegevens mag bewaren. Persoonsgegevens mag je nooit langer bewaren dan nodig is, en daarom moet je een bewaartermijn geven.
Wat ik veel zie in privacyverklaringen, is dat al deze dingen apart genoemd worden. Dus iemand heeft hier een lijstje met verwerkingsdoeleinden, daar een opsomming van de rechtsgronden, en dan nog een kopje met de bewaartermijn. Op deze manier is niet transparant wat er precies met welke persoonsgegevens gebeurt. Hieronder een vereenvoudigde weergave van wat fout is en wat goed:
| NIET TRANSPARANT ❌ | TRANSPARANT ✅ |
| Persoonsgegevens die ik verzamel: – Naam – E-mailadres – Telefoonnummer Verwerkingsdoeleinden: – Contact opnemen – Nieuwsbrief versturen Rechtsgronden: – Toestemming – Gerechtvaardigd belang Bewaartermijnen: Ik bewaar persoonsgegevens niet langer dan nodig | Verwerkingsdoeleinde: Nieuwsbrief Wanneer je je inschrijft voor mijn nieuwsbrief, dan verwerk ik jouw voornaam en e-mailadres. Grondslag AVG: toestemming Bewaartermijn: totdat je je uitschrijft Verwerkingsdoeleinde: Contact Etc, etc, etc. |
In de AVG staat dat je alle (categorieën van) ontvangers van de persoonsgegevens die jij verwerkt, moet noemen. In veel privacyverklaringen mist dit. Voorbeeld is, wanneer je een nieuwsbrief verstuurt, je nieuwsbriefprovider. Of misschien maak je wel gebruik van een boekhoudplatform. Die partij ontvangt ook alle persoonsgegevens die op jouw facturen/offertes staan.
Volgens de AVG moet je de rechten van de betrokkenen noemen die ze hebben over hun persoonsgegevens. In veel privacyverklaringen staan niet alle rechten genoemd, of is dit gewoon helemaal vergeten.
In je privacyverklaring moet staan of je bedrijf gebruik maakt van geautomatiseerde besluitvorming. Maak je er gebruik van, dan moet je ook nog uitleggen wat de onderliggende logica is, jouw belang bij het gebruik ervan, en de verwachte gevolgen voor de betrokkene.
Wat is geautomatiseerde besluitvorming dan? Dat is als er automatisch besluiten worden gemaakt op basis van verwerkte persoonsgegevens, zonder dat er een echt persoon is tussengekomen. Zo kwam ik een keer een uitzendbureau tegen die gebruik maakte van een online sollicitatieformulier. Je moest aanvinken of je wel of geen ervaring had in iets (laten we als voorbeeld zeggen: Photoshop). Als je “nee” aanvinkte, werd je automatisch afgewezen en kon je niet meer solliciteren.
Dit waren slechts 5 fouten die gemaakt worden in privacyverklaringen. Er zijn er nog veel meer te benoemen. Heb je geen privacyverklaring of is die niet of niet helemaal in orde? Dan loop je het risico om een basisboete van € 525.000 te krijgen. De Autoriteit Persoonsgegevens kan deze geven. De boete kan altijd lager of hoger uitvallen, dat ligt aan de ernst van je overtreding. Omdat je deze boete altijd riskeert als je verklaring niet in orde is of ontbreekt, is het dus belangrijk dat je een (privacy)jurist inschakelt voor het opstellen van je privacyverklaring.
Heb je een vraag als ondernemer/bedrijf ?
Stel ‘m gerust!
Misschien vind je deze blogs ook interessant:
Wekelijks al die handige juridische tips in je mailbox?
© 2021 – 2024 Diederich Legal – Alle rechten voorbehouden
Disclaimer – Privacyverklaring – Cookieverklaring
Fotografie: Ilse van Dijk, Reggy van Liempd, Loïs Smit & Sascha Brolman