Hoe stel je een privacyverklaring op?

Een van de meest gestelde vragen wanneer het om privacyrecht gaat, is of je verplicht bent  een privacyverklaring te hebben? Het antwoord daarop is vrij simpel. Als je te maken hebt met het verwerken van persoonsgegevens, ben je verplicht een privacyverklaring op te stellen. En we kunnen je nu al verklappen, je hebt bijna altijd te maken met persoonsgegevens. Zelfs als iemand contact opneemt, verwerk je al persoonsgegevens. In deze blog leggen we je daarom uit hoe je een privacyverklaring opstelt.

Hoe stel je een privacyverklaring op?

Hoe stel je een privacyverklaring op? Een privacyverklaring is een belangrijk document dat beschrijft hoe een organisatie persoonlijke gegevens verzamelt, gebruikt, opslaat en deelt. Het doel van een privacyverklaring is om individuen transparantie te bieden over hoe hun gegevens worden verwerkt. Hierbij moet voldaan worden aan de vereisten van de Algemene verordening gegevensbescherming (AVG) in de Europese Unie. Laten we eens kijken naar de elementen die doorgaans in een privacyverklaring worden opgenomen. Hierbij wordt ook verwezen naar relevante artikelen van de AVG.

• Allereerst moet de privacyverklaring de identiteit van de organisatie vermelden die verantwoordelijk is voor het verzamelen en verwerken van persoonlijke gegevens. Hierbij hoort de naam en contactgegevens van de verwerkingsverantwoordelijke. Dit helpt individuen om te weten aan wie ze zich moeten richten met vragen of zorgen. Deze informatie is belangrijk volgens Artikel 13 en 14 van de AVG.
• Daarnaast moet de privacyverklaring duidelijk maken welke doeleinden de organisatie heeft voor het verzamelen en verwerken van persoonlijke gegevens. Dit kan variëren, zoals het verwerken van bestellingen, bieden van klantenservice of personalisatie van inhoud. Het specifieke doel moet worden vermeld, omdat dit de basis vormt voor een rechtmatige gegevensverwerking. Artikel 5, lid 1, onder b, van de AVG vereist deze specificatie.
• Om in overeenstemming te zijn met de AVG, moet de privacyverklaring ook de rechtsgrondslag aangeven waarop de organisatie zich baseert om persoonlijke gegevens te verwerken. Dit kan toestemming van betrokkenen, de uitvoering van een contract, wettelijke verplichting of gerechtvaardigd belang omvatten. Artikel 6 van de AVG behandelt deze rechtsgrondslagen.

Wat verzamelen met wie delen?

Het is van essentieel belang om te vermelden welke soorten persoonlijke gegevens worden verzameld en verwerkt. Denk hierbij aan voor- en achternaam, contactgegevens, adresgegevens, demografische informatie, betalingsinformatie en in sommige gevallen zelfs informatie als het Burgerservicenummer. Dit helpt individuen te begrijpen welke informatie van hen wordt verzameld. De AVG vereist dat betrokkenen op de hoogte worden gesteld van de categorieën persoonlijke gegevens die worden verwerkt. Dit is op grond van artikel 13 en 14 van de AVG.

Naast het feit dat je duidelijk moet maken welke informatie verzameld wordt en waarvoor, moet de privacyverklaring ook informatie verstrekken over met wie de persoonlijke gegevens gedeeld worden. Dit kan derden omvatten, zoals dienstverleners, partners, overheidsinstanties en andere entiteiten. Opnieuw vereist de AVG dat betrokkenen op de hoogte worden gesteld van de ontvangers of categorieën ontvangers van de persoonlijke gegevens, volgens artikel 13 en 14 van de AVG. Denk eraan dat een boekhouder en de belastingdienst bijna altijd worden genoemd als derde partij.

Als persoonlijke gegevens worden doorgegeven aan landen buiten de Europese Economische Ruimte (EER), moet de privacyverklaring informatie verstrekken over de beschermingsmaatregelen die zijn genomen om een passend niveau van gegevensbescherming te waarborgen. Dit is in overeenstemming met artikel 44-50 van de AVG.

Verder moet de privacyverklaring aangeven hoelang persoonlijke gegevens worden bewaard voordat ze worden verwijderd of geanonimiseerd. Het is van belang dat persoonlijke gegevens niet langer worden bewaard dan nodig is voor de doeleinden waarvoor ze worden verwerkt, zoals vereist in artikel 5, lid 1, onder e, van de AVG. Het simpel vermelden dat gegevens bewaard blijven zolang het noodzakelijk is, is niet voldoende. Er wordt gevraagd specifieke bewaartermijnen te benoemen. Doorgaans worden contactgegevens bewaard voor een periode van twee jaren.

Rechten van betrokkenen

De privacyverklaring moet ook de rechten van betrokkenen beschrijven, zoals het recht op toegang, rectificatie, verwijdering, beperking van verwerking, gegevensoverdraagbaarheid en bezwaar tegen de verwerking. Deze rechten worden behandeld in artikel 13-22 van de AVG.

Tot slot moet de privacyverklaring informatie bevatten over het recht van betrokkenen om een klacht in te dienen bij de toezichthoudende autoriteit voor gegevensbescherming als zij van mening zijn dat hun rechten zijn geschonden. Artikel 13, lid 2, onder d, van de AVG vereist dat dit wordt vermeld.

Daarnaast is het belangrijk om beveiligingsmaatregelen te beschrijven die zijn genomen om persoonlijke gegevens te beschermen tegen ongeoorloofde toegang, verlies, misbruik of openbaarmaking. Dit omvat maatregelen zoals beschreven in artikel 32 van de AVG.

Het is goed om te onthouden dat dit geen uitputtende lijst is en dat specifieke vereisten voor privacyverklaringen kunnen variëren, afhankelijk van de aard van de gegevensverwerking en de juridische context. Organisaties moeten ervoor zorgen dat hun privacyverklaring voldoen aan de toepasselijke wet- en regelgeving, waaronder de AVG. In sommige gevallen kan het raadzaam zijn om juridisch advies in te winnen om ervoor te zorgen dat alle relevante vereisten worden gedekt.

Blijf up-to-date over privacyrecht en andere interessante informatie!

Bij Juristenblog.nl proberen we je zo adequaat mogelijk te informeren over veel aspecten van het privacyrecht. Vond je deze blog interessant? Houd dan ook zeker onze andere blogartikelen over het privacyrecht in de gaten! Heb je nou hulp nodig bij het opstellen van een privacyverklaring? Neem dan contact op met een jurist.