Wat staat er in een privacyverklaring?

privacy statementEen privacyverklaring moet zorgen voor transparantie. Duidelijke informatie over de manier waarop een organisatie met persoonsgegevens omgaat. Dit is in de kern wat de AVG verlangt van een privacyverklaring. Hoe zorg je dat de privacyverklaring voldoet aan de eisen van de AVG; welke zaken moeten precies worden beschreven en op welke wijze?

Eén of meerdere privacyverklaringen

Met een privacyverklaring (ook wel privacy statement) geef je voorafgaand aan de verwerking duidelijkheid over welke persoonsgegevens worden verwerkt en de manier waarop. Bedrijven die persoonsgegevens verwerken worden ook wel verantwoordelijke of verwerker genoemd. De verantwoordelijke zal in het kader van het transparantiebeginsel de betrokkene informatie moeten geven over de door haar (voorgenomen) verwerking; dit vormt de kern van de privacyverklaring.

Indien een bedrijf meerdere verwerkingen uitvoert, is het mogelijk om niet één privacyverklaring te hanteren, maar meerdere (gedeeltelijke) privacyverklaringen. Dergelijke privacyverklaringen worden door de Engelse toezichthouder ICO “just-in-time notices” genoemd. Meer over deze privacy notices vindt u hier  (Engelstalig).

Een gedeeltelijke privacyverklaring informeert in dat geval over één specifieke verwerking die plaats gaat vinden (of plaatsvindt). Belangrijk is wel dat deze gedeeltelijke privacyverklaring tijdig wordt aangeboden.

De inhoud van een privacyverklaring onder de AVG

Eén van de voordelen van de AVG zou moeten zijn dat zaken eenvoudiger geregeld moeten kunnen worden. Dit geldt niet voor de privacyverklaring, deze lijkt er langer op te worden met de AVG.

Wat moet een privacyverklaring bevatten aan informatie:

De identiteit van de organisatie (verantwoordelijke)

In de privacyverklaring vertelt u over de organisatie die de persoonsgegevens verwerkt en hoe betrokkenen contact kunnen opnemen. Hierbij kan gedacht worden aan:

  • de bedrijfsnaam of naam van de instelling/organisatie;
  • contactgegevens zoals e-mailadres, telefoonnummer of postadres;
  • evt. de contactgegevens van de functionaris voor de gegevensbescherming (indien deze is aangesteld).

De grondslagen van de verwerking

Een organisatie mag persoonsgegevens verwerken indien zij een zogenaamde grondslag heeft voor het verwerken van persoonsgegevens. De AVG (en de Wbp) heeft zes grondslagen gedefinieerd:

  1. toestemming;
  2. ter uitvoering van een overeenkomst;
  3. wettelijke verplichting;
  4. vitale belangen beschermen;
  5. vervulling van een taak van algemeen belang;
  6. gerechtvaardigde belangen.

De privacyverklaring zal moeten omschrijven op welke grondslagen de persoonsgegevens worden verwerkt. Het kan zijn dat er meerdere grondslagen worden gehanteerd bij de verwerking van persoonsgegevens.

Indien persoonsgegevens op grond van de toestemming van de betrokkene worden verwerkt, dan heeft de betrokkene de mogelijkheid om die toestemming (later) in te trekken. De privacyverklaring zal dan iets moeten zeggen over de wijze waarop de toestemming kan worden ingetrokken.

Verwerkt een organisatie persoonsgegevens op grond van gerechtvaardigde belangen, dan zal zij deze moeten uitschrijven in de privacyverklaring. Ook indien het de gerechtvaardigde belangen van een derde zijn.

Doelen van de verwerking

Het is belangrijk om aan te geven wat de doelen zijn van de verwerkingen. Wat wil een organisatie bereiken met het verwerken van persoonsgegevens? Waarom verzamelt een organisatie persoonsgegevens?

Aangezien een organisatie meerdere doelen kan nastreven met de verwerking van persoonsgegevens, zou een privacyverklaring redelijk lang kunnen worden. Alle doelen moeten worden vermeld.

Welke persoonsgegevens worden er verwerkt

Wordt informatie verwerkt die kan worden gedefinieerd als persoonsgegevens, dan zal er moeten worden aangegeven welke persoonsgegevens precies worden verwerkt. Dit gaat verder dan de meest voor de hand liggende persoonsgegevens zoals naam, adres, leeftijd. Ook een IP-adres, studieresultaten, medische gegevens, kenteken en dergelijke vallen hieronder.

Persoonsgegevens delen met derde partijen (ontvangers)

Worden persoonsgegevens gedeeld met derde partijen (zoals verwerkers), dan dient te worden aangegeven welke partijen persoonsgegevens ontvangen. Hierbij dienen ook de derde partijen te worden benoemd. Het is toegestaan om hierbij te verwijzen naar categorieën van derde partijen. Denk daarbij aan “banken”, “telecomaanbieders”, “hostingproviders” of “accountants”.

Ook indien persoonsgegevens met andere verantwoordelijken wordt gedeeld, zonder dat daarvoor toestemming vereist is, zal dit vermeld moeten worden in de privacyverklaring. Hierop kunnen weer uitzonderingen bestaan. Denk daarbij aan het delen van persoonsgegevens met opsporingsautoriteiten.

Persoonsgegevens verwerken buiten de EU

Worden persoonsgegevens buiten de Europese Unie (EU) verwerkt, dan zal de organisatie iets moeten zeggen over de waarborgen (maatregelen en afspraken) die zijn getroffen om de persoonsgegevens te beschermen in dat derde land. Het land zelf dient ook te worden vermeld. Niet alle landen hebben hetzelfde beschermingsniveau als in Nederland (en de EU); de organisatie moet dus toelichten hoe zij hiermee omgaat.

Bijvoorbeeld: bij verwerking van persoonsgegevens in de Verenigde Staten, kan een organisatie zich aansluiten bij een regeling van de Europese Commissie: het EU-VS privacyschild (privacy shield). Het doel van privacy shield is om een beschermingsniveau te bieden dat overeenkomt met dat van de EU.

Bewaartermijnen

Wanneer een organisatie persoonsgegevens verwerkt, zal die organisatie ook in haar privacyverklaring moeten aangeven hoe lang de verwerking plaatsvindt en wanneer persoonsgegevens worden verwijderd. De zogenaamde bewaartermijnen. Sowieso mogen persoonsgegevens niet langer worden verwerkt/opgeslagen dan noodzakelijk.

Het is dan ook niet toegestaan om persoonsgegevens “voor altijd” te verwerken. Het is echter ook niet verplicht om een specifieke einddatum te vermelden. Het is voldoende om aan te geven dat een set persoonsgegevens wordt verwijderd “twee maanden nadat een specifiek abonnement is afgelopen”.

De term “bewaartermijn” is misschien niet helemaal gunstig gekozen. Er zou beter kunnen worden gesproken van gebruikstermijnen.

Bewaartermijnen dienen in elk geval objectief bepaalbaar te zijn. Hierna volgen twee voorbeelden:

  • Wel toegestaan: “de persoonsgegevens van een student worden verwerkt totdat hij/zij afgestudeerd of uitgeschreven is”.
  • Niet toegestaan: “de persoonsgegevens worden verwerkt totdat de organisatie deze niet meer nodig heeft”.

In het tweede voorbeeld is voor de betrokkene niet objectief bepaalbaar wanneer de persoonsgegevens worden verwijderd en daarom niet toegestaan.

Rechten van de betrokkenen

Naast alle persoonsgegevens, doelen en bewaartermijnen zal de privacyverklaring ook iets moeten zeggen over de rechten die een betrokkene heeft. Zo heeft een betrokkene het recht op inzage, rectificatie, verwijdering, bezwaar en meer. De privacyverklaring zal duidelijkheid moeten verschaffen over de wijze waarop deze rechten kunnen worden uitgeoefend. Waar moet bijvoorbeeld een inzageverzoek naar toe worden gestuurd.

Klacht indienen bij de Autoriteit Persoonsgegevens

In het geval een betrokkene het niet eens is met de verwerking van zijn/haar persoonsgegevens of anderszins een klacht heeft over de organisatie die zijn/haar persoonsgegevens verwerkt, dan kan hij/zij aankloppen bij de Autoriteit Persoonsgegevens.

In de privacyverklaring zal moeten staan op welke manier in contact kan worden getreden met de Autoriteit Persoonsgegevens om een klacht in te dienen.

Geautomatiseerde besluitvorming

Worden persoonsgegevens op dusdanige wijze verwerkt dat er sprake is van geautomatiseerde besluitvorming, dan zal de privacyverklaring moeten aangeven wat precies de gevolgen zijn voor de betrokkenen. Een vorm van geautomatiseerde besluitvorming is profilen. Hierbij worden betrokkenen “in een hokje” geplaatst op basis van hun persoonsgegevens.

Ook zal de privacyverklaring iets moeten zeggen over de logica achter de geautomatiseerde besluitvorming; hoe werkt de besluitvorming? Met de komst van kunstmatige intelligentie (artificial intelligence) zal het uitleggen van die logica steeds lastiger worden.

Externe bron van persoonsgegevens

Persoonsgegevens komen niet altijd van de betrokkene zelf. Het kan zijn dat een organisatie de persoonsgegevens (gedeeltelijk) ontvangt van een andere organisatie. De privacyverklaring zal in dat geval iets over de bron van de persoonsgegevens moeten zeggen.

De vorm van een privacyverklaring

Een privacyverklaring zal volgens de AVG beknopt moeten worden geschreven zodat personen geen last krijgen van “informatiemoeheid”. Daarnaast zal een privacyverklaring transparant geschreven moeten zijn, zodat eenieder begrijpt wat er met zijn/haar persoonsgegevens gebeurd. Het laatste vereiste behelst de toegankelijkheid. Een privacyverklaring moet makkelijk te vinden zijn (op een website) en niet weggestopt zijn in een andere (juridische) tekst.

Kortom, de privacyverklaring is bedoeld voor de personen waarvan de persoonsgegevens worden verwerkt en niet voor de bedrijfsjuristen.

Verwarring over privacy statement en privacy policy

Vraag avg gdprOp internet worden de termen “privacy statement” en “privacy policy” vaak door elkaar gehaald. Een privacyverklaring, een document waarin wordt toegelicht wordt welke persoonsgegevens op welke wijze worden verwerkt, is een privacy statement. Ook privacy notice genoemd. Wanneer er wordt gesproken over het (interne) beleid ten aanzien van de verwerking van persoonsgegevens, spreken we van privacybeleid of privacy policy.

Ondertussen zijn er bedrijven die desondanks toch hun privacyverklaring naar de gebruiker/betrokkene toe “privacy policy” noemen. Dit wordt gedaan omdat dit voor betrokkenen en gebruikers duidelijker zou zijn.