Privacy in de praktijk - Vertel de betrokkene wat u doet met zijn gegevens (checklist Privacyverklaring)

De verplichting om informatie over het gebruik van persoonsgegevens te geven aan iedere betrokkene is een belangrijke regel voor de verwerking van persoonsgegevens. Iedere organisatie die persoonsgegevens verzamelt, opslaat of gebruikt, moet de personen van wie de gegevens worden verwerkt moet informeren over het bestaan en doel van de verwerking van persoonsgegevens. Dat gaat dan meestal om het informeren van de medewerkers en andere relaties van een organisatie (klanten of patiënten, bezoekers, sollicitanten en toeleveranciers). Sinds 2016 geldt (in Nederland) verder ook de verplichting om de betrokkene te informeren als er een datalek in uw organisatie is geweest, waarbij het waarschijnlijk is dat de betrokkene daardoor negatieve gevolgen kan ondervinden. Klik hier voor meer informatie over het melden van een datalek. We leggen hierna uit waarom de informatieverplichting bestaat, wat de verplichting in de praktijk precies betekent, en welke aandachtspunten er gelden bij het voldoen aan deze informatieplicht.

Waarom informatieplicht?

• De wetgever ziet de informatieplicht als een belangrijk middel om de betrokkene in staat te stellen de partij die zijn gegevens verwerkt ook aan te spreken op eventuele onrechtmatige vormen van verwerking.
• Verder helpt het de betrokkene om zijn rechten te kunnen uitoefenen. Het gaat daarbij om het recht op inzage, correctie, verwijdering en verzet. Met de inwerkingtreding van de AVG komen daar nog de rechten op dataportabiliteit, vergetelheid en beperking van de verwerking bij.

In de praktijk: Informeer in een privacyverklaring

In de praktijk kunt u voldoen aan de informatieplicht door in een zogenaamde privacyverklaring de informatie te geven. Andere benamingen voor zo’n informatiedocument zijn “privacystatement” of “privacybeleid”.

Verschillende soorten privacyverklaringen
Omdat u alle typen betrokkenen waarvan u gegevens verwerkt moet informeren, is het raadzaam om verschillende privacyverklaringen te hebben. Denk daarbij bijvoorbeeld aan een verklaring voor uw klanten en bezoekers, een verklaring voor sollicitanten, een verklaring voor uw werknemers en een verklaring voor uw websitebezoekers (waarin u deze ook over het eventuele gebruik van cookies kunt informeren).

Wanneer informeren?
Als u gegevens krijgt van de betrokkene zelf, moet u de betrokkenen in beginsel vooraf informeren. Als u gegevens van iemand anders krijgt, moet u de betrokkenen toch informeren, maar dan binnen één maand nadat u de gegevens gebruikt. De verplichting geldt niet als de betrokkene de informatie zelf al heeft (bijvoorbeeld omdat iemand anders de informatie al heeft gegeven) of als het echt onmogelijk is om de betrokkenen (persoonlijk) te informeren. Daarvan is niet snel sprake.

Hoe moet u de privacyverklaring presenteren?
De informatie moet makkelijk toegankelijk zijn voor de betrokkene. Dat betekent in de eerste plaats dat de informatie niet mag worden “weggestopt” op de website. Het is het beste om de informatie op iedere pagina zichtbaar te laten zijn (in bijvoorbeeld de footer van de pagina).

Checklist: wat moet er in de Privacyverklaring staan?

• De privacyverklaring moet duidelijke informatie bevatten over de identiteit van uw organisatie en de contactgegevens waarmee betrokkenen de organisatie kunnen benaderen met vragen over de verwerking van hun gegevens.
• Verder moet in de verklaring een behoorlijke waslijst aan informatie worden opgenomen die op een heldere en toegankelijke manier moet worden verteld. De privacyverklaring moet in ieder geval de volgende informatie bevatten over wat u met de gegevens van bijvoorbeeld uw klanten of werknemers doet:
  • Doeleinde van de verwerking; beschrijf voor welke doeleinde u de gegevens verwerkt (bijvoorbeeld het voeren van een personeelsadministratie of het uitvoeren van uw relatiebeheer). Als u de gegevens verder wil verwerken voor een ander doel, dan moet u ook informatie over dat andere doel geven. Voor meer informatie over het doeleinde van de verwerking zie dit artikel.
  • Grondslag voor de verwerking; beschrijf welke in de wet vermelde grondslag u heeft voor de verwerking (het uitvoer van de overeenkomst met de betrokkenen, toestemming, het voldoen aan een wettelijke plicht of het behartigen van een gerechtvaardigd belang, dat prevaleert (boven het belang van de betrokkenen). Als u het behartigen van een gerechtvaardigd belang als grond gebruikt, moet u ook beschrijven welk belang dat dan is. Voor meer informatie over de grondslagen van de verwerking zie hier.
  • Ontvangers van de gegevens; beschrijf aan wie u de gegevens doorgeeft en wie er toegang heeft tot de gegevens, ook binnen de organisatie. U moet daarbij zo specifiek mogelijk zijn.
  • De bewaartermijn voor de gegevens; beschrijf hoe lang u de gegevens gaat bewaren. Dat mag niet langer zijn dan strikt noodzakelijk voor het doel (en uiteraard in overeenstemming met de wettelijke bewaarplichten.
  • De eventuele doorgifte buiten Europa, bijvoorbeeld aan een cloudprovider of het hoofdkantoor van uw organisatie als dat buiten de EU is gevestigd. U moet daarbij ook vermelden hoe de betrokkene informatie kan krijgen over de waarborgen die u heeft getroffen voor die doorgifte, zoals het gebruik van EU Model Clauses. 
  • De rechten van de betrokkene en hoe hij deze kan uitoefenen; beschrijf hier hoe de betrokkenen zijn recht op inzage, verbetering, aanvulling, verwijdering of afscherming, verzet, dataportabiliteit, vergetelheid en beperking van de verwerking kan uitoefenen(vanaf 25 mei 2018). U moet ook het recht noemen om een klacht bij de toezichthouder in te dienen over de verwerking.
  • Vermelding van wettelijke of contractuele verplichting; beschrijf of de betrokkene de persoonsgegevens moet verstrekken om een dienst af te kunnen nemen (en wat de mogelijke gevolgen zijn wanneer hij de gegevens niet verstrekt),
  • De gebruikte techniek (als u aan profiling doet); beschrijf of u technieken voor geautomatiseerde besluitvorming kunt gebruiken bij de verwerking (zoals gepersonaliseerde advertenties en profiling), en vermeld daarbij de onderliggende logica en de verwachte gevolgen van de besluitvorming.
  • De mogelijkheid om toestemming in te trekken (als u toestemming, van betrokkene als grondslag voor de verwerking gebruikt)
  • De bron van de gegevens (als u de gegevens niet van de betrokkenen zelf heeft gekregen).

Waar moet u verder rekening mee houden bij het gebruik van een Privacyverklaring?

• U mag de hiervoor genoemde lijst aan informatie niet als een lange brij tekst presenteren. U moet een structuur aanbrengen waardoor de betrokkenen makkelijk het onderwerp waar hij in is geïnteresseerd kan opzoeken. Bijvoorbeeld door de informatie “gelaagd” aan te bieden, met een inleidende samenvatting en een inhoudsopgave.
• U moet concrete informatie geven over vooral ook de mogelijk negatieve gevolgen van de verwekring van persoonsgegevens voor de betrokkene. Dat is in de praktijk best lastig te verwoorden. De Europese Commissie is van plan om daarvoor onder meer standaard-iconen te maken, waardoor de burger makkelijk kan herkennen of de persoonsgegevens bijvoorbeeld worden verstrekt aan derden voor direct marketingdoelienden of voor profiling worden gebruikt. Maar zover is het nog (lang) niet.
• U moet de privacyverklaring actief onder de aandacht brengen van de betrokkenen als u zijn gegevens verzamelt. Bijvoorbeeld door te verwijzen (met een hyperlink) naar de privacyverklaring als iemand een account aanmaakt of zijn gegevens in een formulier invult.
• U mag de informatie schriftelijk, elektronisch of mondeling verstrekken.
• Omdat de privacyverklaring (alleen) bedoeld is om de betrokkene te informeren is het niet nodig (en ook niet raadzaam ) om een akkoord met de privacyverklaring te vragen. Daarmee doet u immers voorkomen alsof de betrokkenen de verwerking van zijn gegevens ook kan weigeren, en dat is natuurlijk vaak niet het geval; voor het verwerken van bijvoorbeeld een bestelling, heeft u bijvoorbeeld contactinformatie nodig.

Gelden er ook uitzonderingen voor de verplichting om een betrokkenen te informeren?
In sommige gevallen hoeft u de informatie over het gebruik van de gegevens niet te geven (ook al heeft de betrokkenen de informatie nog niet gekregen). Dat zijn echter echt uitzonderingsgevallen. U kunt bijvoorbeeld denken aan redenen van staatsveiligheid, als u de gegevens gebruikt voor wetenschappelijke doeleinden en omdat de belangen van de betrokkene of van anderen ernstig worden geschaad door het geven van de informatie (zie artikel 23 AVG).

Tip voor het maken of updaten van uw privacyverklaring

• De meeste informatie die in een privacyverklaring moet staan, moet u ook in het verwerkingregister opnemen. Het is daarom raadzaam om uw privacyverklaring te maken of te vernieuwen nadat u het verwerkingenregister hebt aangelegd. Zie voor meer informatie over het register van verwerkingsactiviteiten de website van de Autoriteit Persoonsgegevens.
• U kunt gebruik maken van de Ploum Privacy Tools bij het maken of updaten van uw Privacyverklaring; wij bieden modellen voor verschillende types privacyverklaringen en wij bieden de Ploum Privacy Registertoool aan voor het aanleggen en beheren van het verwerkingenregister.

Lees meer artikelen in deze reeks:

• Privacy in de praktijk - De zeven vuistregels
• Gebruik de gegevens alleen op één van de in de wet vermelde gronden
• Gebruik gegevens alleen voor het doel waarvoor je ze hebt verkregen
• Hoe privacygevoeliger de informatie, des te minder er mag
• Beveilig gegevens voldoende tegen verlies of onbevoegde toegang en meld eventuele datalekken
• Regel voldoende waarborgen als je persoonsgegevens aan derden verstrekt
• Vertel de betrokkene wat u doet met zijn gegevens (checklist privacyverklaring)
• Proportionaliteit en subsidiariteit

Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.