• Home |
  • Kennis |
  • Tien dingen die je moet weten over de Privacy-verordening: transparantie en de informatieplicht

Tien dingen die je moet weten over de Privacy-verordening: transparantie en de informatieplicht

informatieplicht privacy

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat betekent dat het aftellen inmiddels is begonnen. Dit is deel 7 van onze blogreeks Tien dingen die je niet wil, maar wel moet weten over de komende Privacy-verordening.

Transparantie

Het uitgangspunt van de AVG is dat natuurlijke personen controle dienen te hebben over hun eigen persoonsgegevens. Controle hebben over je persoonsgegevens is natuurlijk alleen mogelijk als je weet welke gegevens door wie worden gebruikt. Transparantie speelt daarom een belangrijke rol in de privacyregelgeving. Het transparantiebeginsel vertaalt zich in een aantal specifieke verplichtingen in de AVG voor de verwerkingsverantwoordelijke (degene die het doel en de middelen van een verwerking bepaalt, zie hierover ook deel 6 van deze blogreeks). Zo kan toestemming alleen als grondslag dienen als deze specifiek en geïnformeerd is gegeven. Voordat hij toestemming geeft moet het voor de persoon wiens gegevens worden verwerkt (“betrokkene”) onder meer duidelijk zijn om welke verwerking, van welke persoonsgegevens, voor welk doel het gaat. Verder is een belangrijke vertaling van het transparantiebeginsel de algemene informatieplicht. Organisaties moeten voorafgaand aan een verwerking duidelijk maken aan betrokkenen dat en hoe hun persoonsgegevens worden verwerkt. De wijze waarop dit dient te gebeuren en de inhoud van deze informatie zal ik hierna bespreken.

Wijze van informeren

De AVG stelt concrete eisen aan de wijze waarop betrokkenen moeten worden geïnformeerd. Zo zal de informatie in transparante, begrijpelijke en duidelijke taal moeten worden verstrekt op een gemakkelijk toegankelijke wijze. Gemakkelijk toegankelijk betekent bijvoorbeeld dat betrokkenen niet op zoek hoeven te gaan naar deze informatie, maar dat het wordt aangereikt of duidelijk naar de vindplaats wordt verwezen. Een voorbeeld van een wijze waarop informatie gemakkelijk toegankelijk verstrekt kan worden is via een (online) privacyverklaring. De Autoriteit Persoonsgegevens (AP) geeft aan dit een goede methode te vinden om te informeren. Het voordeel daarvan is dat eenvoudig kan worden verwezen naar die verklaring in bijvoorbeeld de algemene voorwaarden, onder webformulieren en in nieuwsbrieven. Als de verklaring dan wijzigt, kunnen de verwijzingen wel gelijk blijven.

Inhoud van de informatie

De AVG geeft een opsomming van de informatie die in een privacyverklaring worden opgenomen. Bij het opstellen van een privacyverklaring is het daarom belangrijk om die opsomming erbij te houden. Deze onderdelen zullen in ieder geval in de privacyverklaring aan bod moeten komen:

  • de identiteit en contactgegevens van de verwerkingsverantwoordelijke
  • indien van toepassing: de identiteit en contactgegevens van de Functionaris voor de Gegevensbescherming
  • categorieën van persoonsgegevens (zoals NAW gegevens, e-mailadres, foto’s, IP-adres, beeldmateriaal)
  • de verschillende doeleinden waarvoor de gegevens worden verwerkt (zoals het onderhouden van contact, een goede en efficiënte dienstverlening of verbetering van de dienstverlening
  • de grondslagen op basis waarvan de persoonsgegevens worden verwerkt
  • categorieën van externe ontvangers van de persoonsgegevens (denk aan systeembeheerders, leveranciers, opdrachtgevers, …)
  • indien van toepassing: doorgifte van persoonsgegevens buiten de Europese Economische Ruimte met de getroffen maatregelen
  • bewaartermijnen of bewaarcriteria
  • rechten van de betrokkenen, waaronder de klachtmogelijkheid bij de Autoriteit Persoonsgegevens
  • de bron waar de persoonsgegevens vandaan komen, of de verstrekking van persoonsgegevens verplicht is en wat de gevolgen zijn als de gegevens niet worden verstrekt
  • of persoonsgegevens worden gebruikt voor profilering en zo ja, op welke wijze

Uiteraard mag de informatie aangevuld worden met andere onderwerpen die relevant zijn voor privacy. Zo kunt je de privacyverklaring bijvoorbeeld aanvullen met een stukje over beveiliging met de concreet genomen maatregelen. Hoewel dit niet verplicht is, kan het juist een goede indruk geven als dit goed is ingeregeld. Let er wel op dat hetgeen jij opneemt in de privacyverklaring overeenkomt met de manier waarop je daadwerkelijk omgaat met de persoonsgegevens. Jij bent namelijk gebonden aan dat wat je in jouw privacyverklaring hebt opgenomen. Als je bijvoorbeeld aangeeft dat er geen persoonsgegevens aan derden worden verstrekt en je doet dat wel, dan kun je daarop worden aangesproken en zelfs een boete voor krijgen.

Stel je vragen aan onze specialisten

“Neem contact met mij op en ontvang antwoord op jouw vragen. Ik ben bereikbaar per mail of telefoon.”
Joost Mosselman