Waarschijnlijk zit je in deze coronacrisis met je bedrijf in een wat stille tijd. Dat is vervelend.  Aan de andere kant heb je nu wel tijd om je website eens na te lopen. Een frisse nieuwe website geeft de promotie van jouw bedrijf een geweldige boost. Zo heeft elk nadeel zijn voordeel. Dus ben jij bezig met je website? Loop dan ook eens de privacyverklaring na. Want dit is een belangrijk document binnen de informatieplicht van de AVG. Volgens de wet moet jouw klant weten wat jij met zijn gegevens doet. Met welke redenen en/of voorwaarden verwerk je de gegevens? Bovendien, de AVG int hoge boetes bij het niet goed naleven van de informatieplicht binnen de AVG. Reden genoeg dus om de privacyverklaring kritisch te bekijken en waar nodig aan te passen. Maar, wat zet je allemaal in de privacyverklaring?

Waar moet een privacyverklaring aan voldoen?

  • Iedereen moet jouw privacyverklaring kunnen begrijpen. Verzamel jij bijvoorbeeld persoonsgegevens van kinderen van 10 tot 12 jaar? Dan moet de verklaring zo geschreven zijn dat zij het kunnen begrijpen. Schrijf de verklaring op in de Nederlandse taal op B1 lees- en schrijfniveau. Tenzij het hier om een anderstalig bedrijf gaat. Aangenomen wordt dat de verklaring dan in het Engels wordt geschreven.
  • In de privacyverklaring moet niet te veel vakjargon staan. Weet je het nog, een kind moet het ook kunnen begrijpen. De stelregel is: de privacyverklaring moet aansluiten bij je klanten en/of doelgroep. 
  • De privacyverklaring moet makkelijk verkrijgbaar zijn. Het liefst voordat de klant zijn gegevens aan jou verstrekt. Zet daarom standaard een link naar de verklaring op jouw website, in de offertes en in de e-mails die jij verstuurt naar (potentiële) klanten of zakenrelaties. Maar ook in de contact- en inschrijfformulieren. Vervolgens zet je de link naar de privacyverklaring in de colofon van je nieuwsbrief.
  • Er zijn echter uitzonderingen. Stel, je verzorgt regelmatig (online) trainingen via een samenwerkende partij. Om deze training te kunnen geven, moet je de naam en de e-mailadressen hebben van de cursisten. Je bent dan verplicht om binnen 1 maand na het verkrijgen van de gegevens of bij het eerste contact de privacyverklaring aan alle betrokkenen te verstrekken.
Wat zet ik allemaal in de privacyverklaring?
Wat zet ik allemaal in de privacyverklaring?

Checklist privacyverklaring

Identiteit van je bedrijf.

De bedrijfsnaam zoals deze staat ingeschreven bij de Kamer van Koophandel + alle contactgegevens.

Ik verzamel persoonsgegevens, omdat …  Ofwel: onder welke 6 grondslagen bewaar jij de gegevens? 

  1. Ik heb toestemming van de betrokkene gekregen. Daarmee kan ik de online bestelde producten of mijn nieuwsbrieven versturen.
  2. Ik heb met mijn boekhouder een verwerkingsovereenkomst afgesloten. Hij heeft immers de gegevens nodig om zijn bedrijfsactiviteit uit te kunnen voeren. Beschrijf iedere partij apart en geef aan welke gegevens jij met hen deelt en waarom je dit doet.
  3. De wet zegt mij dat ik bepaalde persoonsgegevens moet verwerken. Schrijf welke regels je hierbij volgt. Bijvoorbeeld de Belastingwetgeving.
  4. Er is sprake van een vitaal belang. Bijvoorbeeld: zorgverleners moeten na een ramp een bewusteloze persoon behandelen Hierdoor is (schriftelijk) toestemming niet mogelijk.
  5. Je dient een algemeen belang of gemeente cameratoezicht in een winkelstraat hanteert. Schrijf welke gegevens jij bewaart. Onder welke voorwaarden en in wiens opdracht je dit doet. Hoe lang bewaar je de gegevens? 
  6. Ik heb een gerechtvaardigd belang, namelijk het bijhouden van een personeelsadministratie.

Beschrijving van de verwerking, opslag en bescherming van de persoonsgegevens.

Welke manier(en) gebruik ik voor:

  • het opslaan van persoonsgegevens?
  • Op welke plek bewaar ik de gegevens? 
  • Hoe bescherm ik ze tegen datalekken en digitale diefstal? 

Ik doe dit met het volgende: 

  • computersysteem, 
  • cloudservice(s),
  • software, 
  • analoge manieren.

Wat ga jij doen met de persoonsgegevens? Waarvoor gebruik je de gegevens? Schrijf per doel uit welke gegevens er nodig zijn om tot het doel te komen.  

Schrijf een privacyverklaring voor:

  • de verkoop van online producten of diensten, 
  • mailings voor klanten en zakenrelaties, 
  • nieuwsbrieven, 
  • jouw evenementen,
  • het organiseren vaneen webinar,
  • het geven van (online) training of workshop.

Duur van de opslag. 

Hoe lang bewaar je de persoonsgegevens? Welke eisen bepalen deze termijn? Anders gezegd: ‘wat zijn de wettelijk gestelde termijnen?’

Betrokkenen hebben altijd het recht om zijn of haar gegevens of de toestemming in te zien, aan te passen of te laten verwijderen.

Geef hier de mogelijkheden weer over hoe de klant met jou in contact kan komen. Bijvoorbeeld met een e-mailadres. Bij nieuwsbrieven is het echter verplicht om een ‘afmeldlink’ te gebruiken.

Het klachtenrecht.

Wat zijn de rechten van de betrokkene? Op welke manier kan men een klacht indienen? Geef daarna de contactgegevens van de Autoriteit Gegevensbeheer en/of andere autoriteiten.

Contactgegevens van de Functionaris Gegevensbeheer. Deze gegevens zijn alleen : nodig bij:

  • overheden,
  • Publieke organisaties zoals de zorg en het onderwijs.
  • Gerechtelijke organisaties zoals politie, justitie en gerechtelijke deurwaarders. Immers de verwerking van (bijzondere) persoonsgegevens is een van hun kernactiviteiten.
  • Organisaties die marktonderzoeken verrichten. Zij verzamelen namelijk gecontroleerd grote hoeveelheden persoonsgegevens. 

Overzicht van alle verwerkingsovereenkomsten.

Met welke partijen deel ik welke verkregen persoonsgegevens? Met welke redenen?

Overzicht van doorgifte aan een ander land. Sla jij persoonsgegevens op in de cloud? De servers van clouddiensten staan vaak buiten Nederland of buiten de EU.

Omschrijf welke servicediensten jij gebruikt. Van wie zijn deze diensten? Waar op de wereld staan hun servers? Daarnaast ben je ook verplicht om hun verwerkings- en privacy overeenkomsten in je administratie te hebben. Verwijs erna bij dit punt.

Profilering en geautomatiseerde besluitvorming om het individu te beoordelen of te classificeren en beslissingen over de persoon te nemen. Onder profilering valt ook het samenbrengen en vergelijken van persoonsgegevens zoals postcodes, leeftijden of economische en/of sociale achtergrond.

Het is belangrijk om daarbij te vermelden:

  • van welke partij(en) de gegevens afkomstig zijn. 
  • Hoe ben jij aan deze gegevens gekomen? Zoals door gebruik te maken van kant en klare adreslijsten. 
  • Met welk doel vindt de profilering plaats?
  • Welke gevolgen kan de betrokkene hieruit verwachten?  

Betrokkenen mogen altijd bezwaar maken tegen profilering en geautomatiseerde besluitvorming. Dit kan via een afmeldingsformulier, Of maak gebruik van een apart e-mailadres.

Tot slot

Laat de privacyverklaring altijd controleren door een jurist die gespecialiseerd is in contentrecht en AVG.

Gebruik de tips en tools op Ondermemersplein van de Kamer van Koophandel.

Wil je meer weten over het opstellen van een privacyverklaring?

De site Ondernemersplein van de Kamer van Koophandel staan tips en tools voor het opstellen van een privacyverklaring.

Veel succes!