Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 7: Transparantie en de informatieplicht

Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 7: Transparantie en de informatieplicht

Thema's: Privacy en werk, Privacy compliance, Privacy en overheid

19 april 2018

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat betekent dat het aftellen inmiddels is begonnen. Dit is deel 7 van onze blogreeks Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening.

In deel 1 bespraken we het verplichte register van verwerkingsactiviteiten, in deel 2 doelbinding en grondslag en deel 3 ging over het al dan niet verplicht moeten aanstellen van een Functionaris voor de Gegevensbescherming. Deel 4 ging over het maken van een beveiligingsbeleid en aansluitend daarop ging het vijfde deel over de meldplicht datalekken. Deel 6 ging ten slotte over het maken van afspraken met verwerkers. In dit zevende deel gaan we in op het beginsel van transparantie en de informatieplicht.

Transparantie

Het uitgangspunt van de AVG is dat natuurlijke personen controle dienen te hebben over hun eigen persoonsgegevens. Controle hebben over je persoonsgegevens is natuurlijk alleen mogelijk als je weet welke gegevens door wie worden gebruikt. Transparantie speelt daarom een belangrijke rol in de privacyregelgeving. Het transparantiebeginsel vertaalt zich in een aantal specifieke verplichtingen in de AVG voor de verwerkingsverantwoordelijke (degene die het doel en de middelen van een verwerking bepaalt, zie hierover ook deel 6 van deze blogreeks). Zo kan toestemming alleen als grondslag dienen als deze specifiek en geïnformeerd is gegeven. Voordat hij toestemming geeft moet het voor de persoon wiens gegevens worden verwerkt (“betrokkene”) onder meer duidelijk zijn om welke verwerking, van welke persoonsgegevens, voor welk doel het gaat. Verder is een belangrijke vertaling van het transparantiebeginsel de algemene informatieplicht. Organisaties moeten voorafgaand aan een verwerking duidelijk maken aan betrokkenen dat en hoe hun persoonsgegevens worden verwerkt. De wijze waarop dit dient te gebeuren en de inhoud van deze informatie zal ik hierna bespreken.

Wijze van informeren

De AVG stelt concrete eisen aan de wijze waarop betrokkenen moeten worden geïnformeerd. Zo zal de informatie in transparante, begrijpelijke en duidelijke taal moeten worden verstrekt op een gemakkelijk toegankelijke wijze. Gemakkelijk toegankelijk betekent bijvoorbeeld dat betrokkenen niet op zoek hoeven te gaan naar deze informatie, maar dat het wordt aangereikt of duidelijk naar de vindplaats wordt verwezen. Een voorbeeld van een wijze waarop informatie gemakkelijk toegankelijk verstrekt kan worden is via een (online) privacyverklaring. De Autoriteit Persoonsgegevens (AP) geeft aan dit een goede methode te vinden om te informeren. Het voordeel daarvan is dat eenvoudig kan worden verwezen naar die verklaring in bijvoorbeeld de algemene voorwaarden, onder webformulieren en in nieuwsbrieven. Als de verklaring dan wijzigt, kunnen de verwijzingen wel gelijk blijven.  

Inhoud van de informatie

De AVG geeft een opsomming van de informatie die in een privacyverklaring worden opgenomen. Bij het opstellen van een privacyverklaring is het daarom belangrijk om die opsomming erbij te houden. Deze onderdelen zullen in ieder geval in de privacyverklaring aan bod moeten komen:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke
  • indien van toepassing: de identiteit en contactgegevens van de Functionaris voor de Gegevensbescherming (zie deel 3 van deze blogreeks)
  • categorieën van persoonsgegevens (zoals NAW gegevens, e-mailadres, foto’s, IP-adres, beeldmateriaal)
  • de verschillende doeleinden waarvoor de gegevens worden verwerkt (zoals het onderhouden van contact, een goede en efficiënte dienstverlening of verbetering van de dienstverlening, zie ook deel 2 van deze blogreeks)
  • de grondslagen op basis waarvan de persoonsgegevens worden verwerkt (zie deel 2 van deze blogreeks)
  • categorieën van externe ontvangers van de persoonsgegevens (denk aan systeembeheerders, leveranciers, opdrachtgevers, …)
  • indien van toepassing: doorgifte van persoonsgegevens buiten de Europese Economische Ruimte met de getroffen maatregelen
  • bewaartermijnen of bewaarcriteria
  • rechten van de betrokkenen, waaronder de klachtmogelijkheid bij de Autoriteit Persoonsgegevens
  • de bron waar de persoonsgegevens vandaan komen, of de verstrekking van persoonsgegevens verplicht is en wat de gevolgen zijn als de gegevens niet worden verstrekt
  • of persoonsgegevens worden gebruikt voor profilering en zo ja, op welke wijze

Uiteraard mag de informatie aangevuld worden met andere onderwerpen die relevant zijn voor privacy. Zo kunt u de privacyverklaring bijvoorbeeld aanvullen met een stukje over beveiliging met de concreet genomen maatregelen. Hoewel dit niet verplicht is, kan het juist een goede indruk geven als dit goed is ingeregeld. Let er wel op dat hetgeen u opneemt in de privacyverklaring overeenkomt met de manier waarop u daadwerkelijk omgaat met de persoonsgegevens. U bent namelijk gebonden aan dat wat u in uw privacyverklaring heeft opgenomen. Als u bijvoorbeeld aangeeft dat er geen persoonsgegevens aan derden worden verstrekt en u doet dat wel, dan kunt u daarop worden aangesproken en zelfs een boete voor krijgen.

Wilt u een privacyverklaring laten opstellen of laten controleren, of heeft u andere vragen over de verplichtingen uit de AVG, neem dan contact op met Liesbeth Woolschot.