Wanneer je persoonsgegevens verwerkt, zoals namen of adressen, moet je de personen daarover informeren. Zij hebben het recht om te weten wat je met hun persoonsgegevens doet, waarom je dat doet en met wie je die persoonsgegevens allemaal deelt. Je hoeft hen niet elke keer op de hoogte te brengen als je nog maar naar hun persoonsgegevens kijkt, maar vanuit de wet zijn er wel minimale eisen aan de informatieplicht gesteld. Deze eisen zijn weergegeven in de AVG of de Algemene verordening gegevensbescherming. Bovendien moet je dat allemaal ook doen in begrijpelijke en duidelijke taal.
Naam en contactgegevens
In de eerste plaats moet je duidelijk aangeven wie het bedrijf is dat de persoonsgegevens gebruikt en wie verantwoordelijk is voor de verwerking. Je geeft dan ook je naam en adres op. Als je de persoonsgegevens met anderen deelt, waarvoor jij verantwoordelijk bent en blijft, moet je ook duidelijk hun identiteit meedelen. Omdat jij verantwoordelijk bent voor de naleving van je privacyverklaring moet je dan ook wel even een verwerkersovereenkomst sluiten met zo’n extern bedrijf. Als je gegevens buiten de EU doorgeeft, moet je ook dat heel nadrukkelijk vermelden.
Wettelijke grondslag
Er zijn regels waaraan je je moet houden. Zo mag je bijvoorbeeld alleen persoonsgegevens verwerken als je daar een goede reden voor hebt. Deze redenen zijn limitatief weergegeven in de AVG. In een privacyverklaring moet duidelijk te vinden zijn op welke wettelijke grondslag je je baseert. Vaak baseert men zich op de toestemming, maar het is zeker niet verplicht om voor alle verwerkingen de toestemming te verkrijgen. Soms kan je bijvoorbeeld een gerechtvaardigd belang hebben bij de verwerking van de persoonsgegevens. Dat is bijvoorbeeld het geval wanneer je de persoonsgegevens gebruikt om iemand aansprakelijk te stellen, maar niet als je de persoonsgegevens gebruikt voor winstmaximalisatie.
Doeleinden
Daarnaast moet je netjes aangeven met welk doel jij persoonsgegevens gaat verwerken. Er zijn veel doelen mogelijk. Zo kan het bijvoorbeeld voor het uitvoeren van de overeenkomst noodzakelijk zijn, maar ook voor marketingdoeleinden, informaticabeveiliging enzovoort. Het belangrijkste is dat je daar heel eerlijk over bent en bovendien trouw blijft aan het doel. Het is niet logisch als je zegt dat je persoonsgegevens enkel voor de administratie gebruikt en ze vervolgens aan een ander bedrijf verkoopt. Maar het is ook gewoon niet netjes om diezelfde persoonsgegevens dan te gebruiken voor je mailings. Als je het wel doet, riskeer je gedoe met de Autoriteit Persoonsgegevens.
Bewaartermijn
Nu weet de betrokkene al waarom je de persoonsgegevens gebruikt en met wie je het deelt. Het is echter ook belangrijk dat je duidelijk aangeeft hoelang je deze persoonsgegevens bewaart. Het kan niet de bedoeling zijn dat je de persoonsgegevens van een eenmalige klant binnen dertig jaar nog steeds op je server hebt staan. Je moet zelf uitmaken wat noodzakelijk is. Dat zal natuurlijk ook verschillen naargelang de doeleinden die je noemt. Persoonsgegevens die je nodig hebt voor de eenmalige uitvoering van de koopovereenkomst zal je minder lang bewaren dan persoonsgegevens die je nodig hebt voor je fiscale verplichtingen.
Rechten
Personen van wie de persoonsgegevens worden verwerkt, hebben bepaalde rechten. Daar lezen ze meer over wanneer ze de AVG raadplegen, maar bovendien ben jij ook verplicht om die rechten nog even in je privacyverklaring te benoemen. Het gaat dan om rechten zoals het recht tot inzage of het recht op vergetelheid.
Andere verplichtingen
Afhankelijk van de situatie kunnen er nog een aantal extra verplichtingen zijn. Als je bijvoorbeeld geautomatiseerde besluitvorming toepast, moet je dat ook echt aangeven. Bovendien moet je duidelijk uitleggen hoe het automatisch besluit wordt genomen. Dat is belangrijk want sommige besluiten, bijvoorbeeld over het al dan niet toekennen van een verzekering, verdienen toch wel een menselijke blik. De betrokkene heeft dan het recht om te vragen dat een mens de gegevens opnieuw beoordeelt. Bijzondere situaties vragen met andere woorden om een aangepaste privacyverklaring. Laat ze zeker in zo’n gevallen opstellen door een expert.
Laat een privacyverklaring opstellen
Er moet duidelijk best wel veel in een privacyverklaring staan. Dat maakt het maken van een goede privacyverklaring ingewikkeld, al ben je wel tegelijkertijd klaar voor de uitdagingen van de toekomst. Blijf niet bij de pakken zitten, maar laat de privacyverklaring door MKBrecht.nl opstellen.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliƫnten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44