Als organisatie ben je verplicht om uw medewerkers, klanten en (website)bezoekers te informeren over welke privacygevoelige persoonsgegevens je verwerkt. Zo…
Als organisatie ben je verplicht om uw medewerkers, klanten en (website)bezoekers te informeren over welke privacygevoelige persoonsgegevens je verwerkt. Zo dien je duidelijk aan te geven welke gegevens je verwerkt, en voor welke doeleinden. Voldoet jouw privacyverklaring, ook wel bekend als privacy statement, aan de eisen van de Algemene Verordening Gegevensbescherming (AVG)? Wanneer moet je er één hebben en wat neem je op in een goede privacyverklaring? Dit en meer zetten wij uiteen in dit artikel.
Wanneer is een privacyverklaring / privacy statement nodig?
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Bijna iedere organisatie verwerkt persoonsgegevens en heeft hier dus mee te maken. De kans is groot dat ook jouw organisatie te maken heeft met de AVG.
Op grond van de AVG heb je zowel een verantwoordings- als informatieplicht. Dit komt erop neer dat je 1) moet kunnen aantonen dat je moet kunnen aantonen maatregelen te hebben getroffen ter bescherming van de privacy van betrokkene en 2) de betrokkene voldoende informeert over de gegevensverwerkingen. Een online privacyverklaring is een geschikt middel om mensen te informeren. Het opstellen van een privacyverklaring dwingt ook tot nadenken over hoe je persoonsgegevens verwerkt en beschermt. Kortom: hoe ga je om met de persoonsgegevens en hoe bescherm je de privacy? Dat is juist het doel van de nieuwe privacyregels.
Minimale eisen aan een privacyverklaring / privacy statement
Deze informatie moet je minimaal in je privacyverklaring / privacy statement opgenomen te hebben:
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en eventueel van de partijen die persoonsgegevens verwerken in opdracht van de verantwoordelijke.
- De contactgegevens van de functionaris voor de gegevensbescherming (als die er is).
- Het doel en de rechtsgrond van de verwerking. Als de organisatie zich beroept op een gerechtvaardigd belang, vermelden welk belang dat is.
- Ontvangers van de persoonsgegevens.
- Of de persoonsgegevens worden doorgegeven buiten de Europese Economische Ruimte (EER) of een internationale organisatie, en op welke juridische grond.
- De bewaartermijn van de gegevens.
- De rechten van de betrokkene, zoals het recht op inzage, correctie of verwijdering.
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
- Het recht van de betrokkene om een klacht in te dienen bij de bevoegde privacy toezichthouder.
- Of, en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken, en wat de gevolgen zijn als de gegevens niet worden verstrekt.
- Of er gebruik wordt gemaakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe deze besluiten worden genomen.
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.