Sinds de invoering van de AVG zie je steeds vaker een privacyverklaring op websites en webshops. De website geeft hierin een uitleg waarom er op de website bepaalde persoonsgegevens gebruikt. Maar waarom gebruiken ondernemingen zo’n verklaring? Is dit wettelijk verplicht? Als jurist met een liefde voor privacyrecht, leg ik het graag uit.
Wat is een privacyverklaring?
Naast de term privacyverklaring zie je ook de Engelse term privacy statement voorbij komen. Maar wat houden deze termen precies in? Beide termen zien op hetzelfde. Het gaat namelijk om een verklaring die informatie geeft over de verwerking van persoonsgegevens door een onderneming. Vaak wordt hierin aangegeven door wie en waarom bepaalde persoonsgegevens worden verwerkt.
Waarom heb ik een privacyverklaring nodig?
Een privacyverklaring is een verklaring die door ondernemingen op websites wordt geplaatst. Op grond van de AVG hebben ondernemingen namelijk een informatieplicht. Als je als onderneming persoonsgegevens verwerkt dan moet je de betrokkenen informeren over wat je met hun gegevens doet.
Het verstrekken van voldoende informatie heeft als doel om de betrokkenen de kans te geven om de gegevensverwerkingen te controleren. Betrokkenen hebben namelijk op grond van de AVG ook rechten, zoals het recht op inzage en verbetering van persoonsgegevens.
Is een privacyverklaring wettelijk verplicht?
Doordat bijna elke onderneming wel een privacyverklaring op de website heeft staan lijkt het alsof het wettelijk verplicht is om één te hebben. Maar dit is dus niet het geval. De AVG verplicht ondernemingen niet om zo’n verklaring online te hebben staan.
Wel kent de AVG het transparantiebeginsel. Zoals in de vorige alinea al aangegeven, moeten ondernemingen informatie verstrekken over hoe en waarom zij persoonsgegevens verwerken. Het meest makkelijke is om dit in de vorm van een verklaring te doen.
Wat moet er in een privacyverklaring staan?
Als onderneming is het dus belangrijk om voldoende informatie te geven aan betrokkenen over de verwerking van persoonsgegevens. In ieder geval de volgende informatie:
- Identiteit van de onderneming en overige contactgegevens;
- Denk hierbij aan je bedrijfsnaam, adresgegevens en KvK-nummer.
- Doeleinden en grondslagen voor de gegevensverwerking;
- Stel hierbij aan jezelf de vraag: “met welk doel verwerken wij de gegevens van betrokkenen?”.
- Beveiliging;
- Op grond van de AVG moeten technische en organisatorische maatregelen worden genomen om persoonsgegevens te beveiligen. Welke je als onderneming gebruikt neem je op in de privacyverklaring.
- Rechten van de betrokkenen;
- Ook de betrokkenen hebben rechten op grond van de AVG. Een voorbeeld hiervan is het recht op inzage in zijn of haar persoonsgegevens.
- Andere bedrijven;
- Indien je als onderneming de persoonsgegevens van betrokkenen met andere ondernemingen deelt of een andere onderneming gebruikt voor de verwerking van persoonsgegevens dan dient dit ook gemeld te worden in de verklaring.
- Verwerking buiten de Europese Unie;
- Indien gegevens buiten de Europese Unie, bijvoorbeeld in de Verenigde Staten, wordt verwerkt dan dient dit vermeld te worden.
- Profileren;
- Indien je gebruik maakt van profilering dan moet je dit ook vermelden in de verklaring.
- Bewaartermijnen.
- Hoe lang worden de persoonsgegevens bewaard?
Tips bij het opstellen
Het is goed om jezelf een aantal vragen te stellen bij het opstellen van een privacyverklaring. Zo kan je controleren of de privacyverklaring duidelijk is en voldoende informatie verstrekt. Vraag jezelf bijvoorbeeld het volgende af:
- Is de verklaring lang en ingewikkeld?
- Mist er belangrijke informatie?
- Is de privacyverklaring goed te vinden op de website?
- Zou jij jouw gegevens willen delen met deze website op grond van de privacyverklaring?
Hulp nodig?
Het bovenstaande geeft in een notendop de belangrijkste aspecten van een privacyverklaring weer. Het is best lastig zijn om een goede verklaring op te stellen. Heb je vragen over het opstellen van een verklaring of over de AVG? Bel of mail mij dan gerust.
Esmée Piening
Advocaat