Stel, je hebt een webshop waar klanten hun naam, adres en betaalgegevens invoeren. Of misschien heb je een lokaal fitnesscentrum waar leden hun contactinformatie en gezondheidsgegevens achterlaten. Zelfs als je slechts een eenvoudige nieuwsbrief aanbiedt waarvoor bezoekers hun e-mailadres opgeven, verzamelt je persoonsgegevens. In al deze gevallen is het essentieel om te voldoen aan de privacywetgeving. Binnen de EU geldt hiervoor de Algemene verordening gegevensbescherming (AVG), deze schrijft voor dat je jouw klanten duidelijk maakt wat er met hun gegevens gebeurt en waarom. Dit gebeurt door middel van een heldere privacyverklaring of privacystatement, zodat je klanten weten waar ze aan toe zijn en voldoe je aan de verplichtingen conform geldende wetgeving.
Let op: een privacyverklaring komt niet op hetzelfde neer als een privacybeleid!
Waarom privacyverklaring?
Een privacyverklaring is een wettelijke verplichting volgens de Algemene Verordening Gegevensbescherming (AVG) waarmee je voldoet aan de verantwoordingsplicht die op de onderneming rust. Het is een eenzijdige verklaring tegenover je klanten. Een goed opgestelde privacyverklaring biedt duidelijkheid over hoe jouw onderneming persoonsgegevens verzamelt, gebruikt, opslaat en deelt. Op deze manier wek je vertrouwen tegenover je klant. Het niet hebben van een privacyverklaring kan resulteren in wettelijke sancties en/of boetes opgelegd door de Autoriteit Persoonsgegevens (AP). Bovendien kan het ook leiden tot reputatieschade, wat uiteraard niet wenselijk is op de lange termijn.
Verschil tussen privacyverklaring en privacybeleid
In de vaktermen van de AVG zul je ook wel eens tegen het zogenaamde privacybeleid aan lopen. Een privacybeleid is anders dan een privacyverklaring, het is een intern document dat het beleid en de procedures uiteenzet die jij als bedrijf zal volgen om de privacy van je klanten te beschermen. Het privacybeleid is gericht op het instrueren van je medewerkers en het waarborgen van naleving van privacywetgeving binnen de organisatie. Je zou kunnen stellen dat een privacyverklaring naar buiten is gericht en uitlegt hoe een organisatie met persoonlijke informatie omgaat aan degenen van wie de informatie wordt verzameld en een privacybeleid naar binnen gericht.
Informatieplicht
Volgens de artikelen 12 tot en met 14 van de AVG ben jij als verwerkingsverantwoordelijke verplicht om informatie te verstrekken aan jouw klanten over de gegevensverwerking. Dit noemen we de informatieplicht. In principe zitten hieraan geen vormvereiste. In de praktijk stellen de meeste bedrijven privacyverklaring op in de vorm van een lopende tekst verdeelt in artikelen waarmee ze voldoen aan hun informatieplicht. Kijk hier voor een standaardvoorbeeld van een privacyverklaring.
Persoonsgegevens
Eerst moet je bepalen of er sprake is van het in bezit zijn van persoonlijke gegevens. Art. 4 lid 1 AVG definieert het in bezit zijn van persoonsgegevens als volgende: ´alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. ´ Het gaat erom dat je gegevens hebt waarmee je iemand direct kunt identificeren. Denk aan voor- en achternamen, telefoonnummer, huisadressen of e-mailadressen. Wanneer je als bedrijf te maken krijgt met deze gegevens, betekent het dat de AVG van toepassing is en je op grond daarvan een privacyverklaring moet opstellen.
Naast “gewone” persoonsgegevens zijn ook bijzondere persoonlijke gegevens. Dit zijn bijvoorbeeld gegevens over de gezondheid, religie of politieke voorkeur van een persoon. Hier gelden volgens de AVG andere regels voor.
Lees meer over persoonsgegevens in onze blog over “AVG en de verwerking van bijzondere persoonsgegevens”.
Wettelijke grondslag voor verwerking
Als je bepaald heb dat je te maken hebt met de verwerking van persoonsgegevens dien je vervolgens te bepalen of de verwerking hiervan ook berust op een van de 6 grondslagen zoals de beschreven in artikel 6 van de AVG:
1. De klant, waarvan je de persoonlijke gegevens verwerkt, heeft toestemming gegeven.
2. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken ter uitvoering van een overeenkomst.
3. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat dit volgens de wet verplicht wordt.
4. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat er vitale belangen beschermd dienen te worden.
5. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat een taak van algemeen belang of openbaar gezag uitgeoefend moet worden.
6. Wanneer het noodzakelijk is om persoonlijke gegevens te verwerken omdat het gerechtvaardigde belang behartigd dient te worden.
Het is sterk aan te raden om je privacyverklaring te onderbouwen waarom je kiest voor een bepaalde grondslag. Vervolgens gaan we in op welke onderdelen er nog meer vermeld dienen te worden in de privacyverklaring.
Inhoud privacyverklaring
In artikel 13 en 14 van de AVG staat precies wat er in een privacyverklaring moet komen te staan. Zoals eerder besproken maakt het niet uit in welke vorm dit gebeurt. Zorg ervoor dat de volgende punten minimaal aan bod komen:
Wie beheert de gegevens? Dit is de naam en contactgegevens van jouw bedrijf of, als je vertegenwoordigd wordt, van die vertegenwoordiger binnen de EU.
Waarom verzamel je gegevens? Op welke grondslag, zoals reeds besproken, doe je dit?
Met wie deel je deze gegevens? Wie krijgt ze te zien of te gebruiken?
Stuur je de gegevens naar buiten de EU? Als dat zo is, waarom mag dat en op welke juridische basis?
Hoe lang bewaar je deze gegevens? Dit gaat over de periode dat je de klantgegevens in je systeem houdt.
Rechten van de klant: Wat kan de klant doen als hij/zij besluit dat je zijn/haar gegevens niet meer mag gebruiken?
Heeft de klant een klacht? Leg de afhandeling van klachten uit.
Moet de klant jou de gegevens verstrekken? En wat gebeurt er als ze besluiten dat niet te doen?
Beslis je zaken met digitaal zonder menselijke tussenkomst? Bijvoorbeeld, met geautomatiseerde systemen? Zo ja, hoe werkt dat dan?
Beschrijving van de beveiliging van persoonsgegevens.
Heb je de persoonsgegevens verkregen van een ander bedrijf? Zo ja, noem dit bedrijf is dat dan?
Toegankelijkheid van privacyverklaring
Zorg ervoor dat de privacyverklaring toegankelijk te raadplegen is door deze online je website te plaatsen. Verwijs naar de privacyverklaring bij aankoop van een product of afname van een dienst. Maak daarnaast ook een verwijzing in jouw algemene voorwaarden. De verstrekte informatie dient transparant en begrijpelijk te zijn. Dit bereik je door duidelijke taal te gebruiken en een concrete gelaagde structuur in de tekst aan te brengen. Verwijs in het eerste contact met de klant bijvoorbeeld naar de privacyverklaring. Maak je gebruik van cookies op jouw website? Neem dit dan ook op in de verklaring.
Sancties bij onvolledige privacyverklaring
Een overtreding van de informatieverplichting jegens het data subject resulteren in een boete opgelegd door de toezichthouder. In Nederland is dit de Autoriteit Persoonsgegevens. De maximale boete kan oplopen tot €20 miljoen of, voor bedrijven, 4% van de wereldwijde jaaromzet van het vorige boekjaar, indien dit hoger is.
Daarnaast biedt de AVG de mogelijkheid voor jou klanten om schadevergoeding te eisen bij zowel materiële als immateriële schade als gevolg van een AVG-overtreding.
Conclusie
Als jouw onderneming persoonsgegevens verzamelt, of het nu gaat om basiscontactinformatie in een webshop of meer gevoeligere gezondheidsgegevens in een fitnesscentrum, moet zich houden aan de strikte richtlijnen van de Algemene verordening gegevensbescherming (AVG). Het is wettelijk verplicht om een duidelijke en begrijpelijke privacyverklaring te hebben die klanten informeert over hoe hun gegevens worden gebruikt, opgeslagen en gedeeld. Dit dient niet alleen ter bescherming van de klanten, maar helpt ook het vertrouwen in het bedrijf te versterken. Het niet voldoen aan deze vereisten kan leiden tot boetes en potentiële schadeclaims, wat zowel financieel als reputatiegewijs schadelijk kan zijn voor jouw onderneming. Het is daarom belangrijk om een grondige, transparante en toegankelijke privacyverklaring te hebben en deze regelmatig bij te werken in overeenstemming met de AVG-richtlijnen.
Vragen of contact
Heb je vragen over dit artikel en wil je een privacyverklaring laten opstellen? Of heb je andere vragen over AVG en aanverwante juridische thema's? Stel deze dan gerust hieronder.. Wij reageren dan snel. Je kunt ook direct een online consult inplannen.
Comentarios