Allerlei verschillende organisaties, zoals bijvoorbeeld werkgevers, werken met privé gegevens van mensen zoals bijvoorbeeld financiële gegevens en e-mailadressen, maar ook gegevens over het zoekgedrag op internet. De AVG (Algemene Verordening Gegevensbescherming) beschermt particulieren dat er goed wordt omgegaan met deze persoonsgegevens. Zo kan er een privacy verklaring worden opgesteld, waar dit precies in staat omschreven. Dit hoeft, net als bijvoorbeeld een samenlevingscontract, niet door een notaris te worden opgesteld om officieel te worden erkent. Wel zijn er een aantal zaken waar je op moet letten bij het opstellen ervan… welke dat zijn, lees je hieronder.
Voor elke organisatie die met persoonsgegevens werkt
Iedere organisatie die met persoonsgegevens werkt, is verplicht een privacyverklaring op te stellen. Een privacyverklaring is bedoeld om degenen van wie de persoonsgegevens worden verwerkt, te informeren over wat er met hun gegevens gebeurt en met welk doel. Een privacyverklaring wordt meestal op de website van de verwerker gepubliceerd, maar kan ook als een fysiek document worden aangeboden. Bijvoorbeeld aan leveranciers of klanten. Voor verwerkingen van persoonsgegevens van werknemers wordt een zogenaamde interne privacyverklaring opgesteld, wat eigenlijk op hetzelfde neerkomt.
Wat wordt er onder persoonsgegevens verstaan?
Met persoonsgegevens wordt alle informatie bedoeld die over een natuurlijk persoon gaat of naar deze persoon te herleiden is. Onder persoonsgegevens vallen dus ook gegevens die indirect naar een persoon te herleiden zijn, zoals het kenteken van een auto of een adres. Alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, worden beschouwd als verwerking. Denk aan het verzamelen van persoonsgegevens, maar bijvoorbeeld ook aan het opslaan, beschikbaar stellen, verspreiden, raadplegen, vernietigen en samenbrengen ervan. Een verwerking van persoonsgegevens moet rechtmatig zijn: voor een verwerking is een zogenaamde wettelijke grondslag nodig.
In een privacyverklaring staat wat er met de verstrekte gegevens wordt gedaan
Een privacyverklaring is in eerste instantie van belang voor de persoon die zijn of haar gegevens verstrekt en wil weten wat daarmee gebeurt. Waarom worden de gegevens opgeslagen en hoe lang wordt de data bewaard? Hoe is de beveiliging geregeld en met wie worden de gegevens eventueel gedeeld? Op basis van deze informatie kan de betrokkene beslissen of hij zijn persoonsgegevens met de organisatie wil delen of niet. Daarnaast is een privacyverklaring belangrijk voor de organisatie die de persoonsgegevens verwerkt, dit zodat het kan aantonen dat de organisatie voldoet aan haar informatieplicht.
Specifieke eisen waar een privacyverklaring aan moet voldoen
Echter zijn er specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie. Zo moet de informatie over de gegevensverwerking beknopt, transparant en begrijpelijk zijn.
Informatie die in ieder geval in de privacyverklaring moet staan:
– de contactgegevens van de organisatie
– welke persoonsgegevens de organisatie verwerkt
– voor welk doel en om welke reden om deze informatie wordt gevraagd
– of de persoonsgegevens worden gedeeld met andere organisaties
– termijn dat de gegevens bewaard worden
Informeren van de betrokkenen wat er met de informatie wordt gedaan
Als je als bedrijf persoonsgegevens verwerkt, ben je verplicht om de betrokkenen van tevoren te informeren over wat er met die informatie gedaan wordt. De wijze waarop u men hierover geïnformeerd wordt, mag men zelf bepalen. Het is aan te raden om een privacyverklaring schriftelijk aan te bieden, zodat er richting de toezichthouder kan worden aangetoond dat er wordt voldaan aan de informatieplicht. In de praktijk wordt een privacyverklaring meestal online gepubliceerd, bijvoorbeeld in de header of footer van een website.