De AVG: wat moet ik weten over de AVG en de privacyverklaring

Leestijd: 4 minuten

In dit blog leest u alles wat u moet weten omtrent de Algemene Verordening Gegevensbescherming (AVG) en uw privacyverklaring.

Wat is een privacyverklaring en waarom is deze belangrijk?

Verzamelt of gebruikt u gegevens van uw klanten? Dan bent u op grond van de AVG verplicht om de betrokken personen uit te leggen wat u met de gegevens doet en waarom. Dat kunt u het makkelijkste doen door het hanteren van een privacyverklaring. Een privacyverklaring is een schriftelijke verklaring over wat u met de verzamelde gegevens doet.

Elke verwerkingsverantwoordelijke moet zich houden aan de regels en verplichtingen die de AVG stelt. Dit is van belang omdat de Autoriteit Persoonsgegevens (AP) in het ergste geval een boete kan opleggen wanneer u dit niet doet. Daarom is het verstandig om een duidelijke privacyverklaring te hebben waar niks in ontbreekt.

Op het moment dat u persoonsgegevens voor uzelf verwerkt beschouwt de AVG u als een verwerkingsverantwoordelijke. Persoonsgegevens zijn alle gegevens die gebruikt kunnen worden om personen te identificeren. Hierbij kunt u bijvoorbeeld denken aan zaken zoals namen, adressen en telefoonnummers. Het verwerken van persoonsgegevens omvat bijna elke handeling die met de gegevens te maken heeft. Het verzamelen van gegevens is bijvoorbeeld al een verwerking van gegevens.

Hieronder zullen wij uiteenzetten welke onderwerpen in een privacyverklaring moeten staan.

Uw identiteit

Allereerst is het van belang duidelijk te maken wie er verantwoordelijk is voor de verwerking van persoonsgegevens. Neem daarom de naam en contactgegevens van uw bedrijf of uzelf op in de privacyverklaring. Het is aan te raden om hier ook een korte beschrijving op te nemen van uw bedrijf of het doel van het verzamelen van de gegevens. Zo weten personen met wie zij te maken hebben. Bovendien draagt het vermelden van het doel van de gegevensverzameling bij aan uw informatieplicht als verwerkingsverantwoordelijke.

Het doel en de reden van de verwerking

Wees transparant over de doeleinden van de verwerking: welke persoonsgegevens worden verzameld en waarom worden de betreffende persoonsgegevens verzameld? Op grond van de AVG is het noodzakelijk een goede reden te hebben om de persoonsgegevens te verwerken, de zogeheten ‘verwerkingsgrondslag’. Deze moet u noemen en onderbouwen. De AVG kent zes verwerkingsgrondslagen, waarvan de twee onderstaande voor u als ondernemer het belangrijkste zijn:

Toestemming van de persoon wiens gegevens u verwerkt, ook wel de betrokkene genoemd.
Wanneer de betrokkene toestemming geeft voor het verwerken van zijn persoonsgegevens geldt dit als een goede reden. Bij het geven van toestemming kunt u bijvoorbeeld denken aan het laten aanvinken van een vakje op uw site.
De gegevens zijn noodzakelijk om een overeenkomst uit te voeren.
Wanneer persoonsgegevens nodig zijn om een overeenkomst uit te voeren, zoals het leveren van een product of dienst, is dit op grond van de AVG een goede reden om deze persoonsgegevens te verwerken.In sommige gevallen is er ook zonder toestemming of overeenkomst een goede reden om gegevens te verwerken. Dit komt bijvoorbeeld voor als sprake is van een gerechtvaardigd belang. Voordat u een gerechtvaardigd belang als reden kan gebruiken moet u een belangenafweging maken. Weegt uw belang inderdaad zwaarder dan de belangen van en de gevolgen voor de betrokkenen? Is de verwerking echt noodzakelijk om dit doel te bereiken? En waarom kan de verwerking niet op een andere grondslag worden gebaseerd?

De rechten van de betrokkene

In de privacyverklaring moet duidelijk staan welke rechten uw klanten of bezoekers hebben met betrekking tot hun eigen persoonsgegevens. Op grond van de AVG heeft de betrokkene het recht op inzage in de over hem verzamelde gegevens en het recht op rectificatie daarvan. Het recht op rectificatie houdt in dat u op verzoek van de betrokkene gegevens moet corrigeren of actualiseren als blijkt dat deze niet (meer) correct zijn.
Bovendien heeft de betrokkene het recht dat zijn gegevens worden gewist. Dit recht kan in alle gevallen worden ingeroepen. De AVG noemt verschillende situaties. In het geval dat de gegevensverwerking bijvoorbeeld niet meer relevant of nodig is dan moeten de gegevens op verzoek verwijderd worden. Andere rechten waarvan betrokkenen op de hoogte moeten worden gesteld zijn het recht om gegevens over te dragen (dataportabiliteit), het recht op beperking van de verwerking, het recht om bezwaar te maken, het recht om een klacht in te dienen (bij onder andere de Autoriteit Persoonsgegevens) en het recht om beschermd te worden tegen besluiten die zonder menselijke tussenkomst worden gemaakt (denk hierbij aan automatische besluiten door computers).

Het is belangrijk om zo duidelijk en eenvoudig mogelijk aan te geven hoe uw klanten gebruik kunnen maken van hun rechten. Met transparantie wordt niet alleen aan de eisen van de AVG voldaan, maar bouwt u ook vertrouwen op.

De bewaartermijn

Het uitgangspunt van de AVG is dat gegevens niet langer bewaard mogen worden dan noodzakelijk. Hoe lang dat precies is hangt af van de situatie en moet u zelf beoordelen. Houd hiervoor rekening met het doel van de gegevensverwerking maar ook met bestaande termijnen uit andere wetten. Zo schrijft de belastingwet voor dat ondernemers hun administratie zeven jaar moeten bewaren.

Wie ontvangt de gegevens

Als u diensten van derden gebruikt om persoonsgegevens te verwerken dan moet u uw klanten of bezoekers daarover informeren. Hierbij is van belang wie deze derden zijn en welke gegevens zij ontvangen. Daarnaast moeten klanten/bezoekers geïnformeerd worden als u verzamelde persoonsgegevens van hen doorgeeft aan andere bedrijven die deze voor eigen doeleinden gebruiken. Uw klanten/bezoekers moeten kunnen weten wie hun gegevens ontvangt en welke gegevens dit zijn.

Doorgifte buiten de EU

In de privacyverklaring moet ook staan of u van plan bent om de persoonsgegevens door te geven aan een land dat buiten de EU ligt of aan een internationale organisatie. Daarbij is het van belang om te vermelden op basis van welke juridische grond deze doorgifte plaatsvindt. Dit kan bijvoorbeeld op grond van een adequaatheidsbesluit van de Europese Commissie of een goedgekeurd certificaat. Bent u niet van plan om de persoonsgegevens door te geven buiten de EU? Dan is een simpele vermelding hiervan voldoende.

Geautomatiseerde besluitvorming

Als u gebruik wilt maken van geautomatiseerde besluitvorming of profilering dan moet u dit duidelijk aan uw klanten of bezoekers communiceren. Dit houdt in dat u uitlegt op welke manier u dit doet, waarom u dit doet en wat de verwachte gevolgen zijn van die verwerking voor de betrokkene.

Gegevens verkregen van derden

In het geval dat gegevens zijn verkregen van iemand anders dan van de betrokkene zelf moet u dit aangeven. Vermeld daarom de bron waar de persoonsgegevens vandaan komen en of deze bron openbaar is.

Tot slot

Heeft u vragen over de privacyverklaring? Of wilt u uw privacyverklaring laten controleren? Voor gratis advies kunt u altijd contact met ons opnemen via het vragenformulier op de website!