icon

AVG vereist flinke uitbreiding van uw privacyverklaring

Een van de doelen van de nieuwe privacyverordening is het beter waarborgen van de rechten van betrokken, dus de personen waarover gegevens worden verwerkt. Daarvoor is allereerst natuurlijk van belang dat de betrokkene wéét dat er gegevens over hem of haar worden verwerkt, en welke rechten hij of zij daarbij heeft. De Algemene verordening gegevensbescherming bevat daarom uitgebreide informatieverplichtingen.

De plicht om te informeren bestaat onder de huidige Wet bescherming persoonsgegevens ook al. Als persoonsgegevens bij een betrokkene zelf worden verzameld, bijvoorbeeld door middel van een online formulier, moet de verantwoordelijke direct informatie verschaffen over de doeleinden van de verwerking en zijn identiteit. Daarnaast is het verplicht om nadere informatie te verstrekken “voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen”.

Zulke nadere informatie kan bijvoorbeeld bestaan uit de mededeling dat de verantwoordelijke het voornemen heeft om de verkregen gegevens aan een derde partij te verstrekken, of een overzicht van de rechten die de betrokkene heeft. Echt duidelijk is de huidige informatieplicht natuurlijk niet: de keuze om bepaalde informatie wel of niet te verstrekken wordt in grote mate overgelaten aan de verantwoordelijke. De informatieverstrekking (vaak vervat in een privacyverklaring, of “privacy policy”) is daarom vaak uiterst summier, en dat bevordert natuurlijk niet dat betrokkenen hun rechten effectief kunnen uitoefenen.

De AVG somt daarom uitdrukkelijk op welke informatie de verantwoordelijke aan de betrokkene moet verstrekken. Naast de identiteit van de verantwoordelijke, inclusief contactgegevens, en de doeleinden van de verwerking (bijvoorbeeld “identiteit van de cliënt vaststellen”), gaat het daarbij onder meer om:

  • de grondslag van de verwerking, zoals toestemming van de betrokkene, of nakomen van een wettelijke plicht;
  • als die grondslag toestemming is: de mededeling dat de betrokkene die toestemming altijd weer kan intrekken;
  • de herkomst van de gegevens, als deze niet van de betrokkene zelf zijn verkregen;
  • de eventuele derden of categorieën van derden waaraan de gegevens worden verstrekt;
  • in geval van verstrekking aan landen buiten de EU: op welke wijze gewaarborgd wordt dat de gegevens voldoende beschermd zijn;
  • de bewaartermijn van de persoonsgegevens;
  • de rechten van de betrokkene (onder meer het recht op inzage en het recht op correctie);
  • of de betrokkene verplicht is die gegevens te verstrekken en wat de gevolgen zijn als hij de gevraagde gegevens niet verstrekt.

De open norm uit de Wbp, om “voor zover nodig” nadere informatie te verstrekken, blijft bestaan. Met alleen het verstrekken van de expliciet in artikel 13 en 14 van de verordening genoemde informatie bent u er als verantwoordelijke dus nog niet: u zult nog steeds moeten nagaan of het nodig is aanvullende informatie te verstrekken.

Let op: ook als u nu al een privacyverklaring hanteert waarin de rechten van de betrokkenen zijn gespecificeerd, ontkomt u waarschijnlijk niet aan aanpassing. De rechten van betrokkenen zijn namelijk uitgebreid ten opzichte van de huidige wetgeving. Nieuw is bijvoorbeeld het zogenaamde recht op beperking van verwerking, dat betrokkenen onder andere kunnen inroepen als ze de juistheid van de door u verwerkte gegevens in twijfel trekken. Als een betrokkene zich op dat recht beroept, bent u gedurende het onderzoek naar de klacht niet gerechtigd zijn persoonsgegevens te gebruiken of te wijzigen. Wel moet u de gegevens opgeslagen houden. Het is verplicht om de betrokkene op dit recht te wijzen.

Tot slot is het van belang om er rekening mee te houden dat de plicht om betrokkenen te informeren zich eigenlijk bij elke vorm van verwerking voordoet. U bent dus niet alleen verplicht om uw potentiële klanten te informeren over wat u doet met de contactgegevens die u over hen verzamelt, maar u zult ook uw werknemers moeten informeren. Als werkgever verwerkt u immers een grote hoeveelheid persoonsgegevens over uw medewerkers. Bij indiensttreding of door middel van een eenvoudig te vinden intranetpagina zou u kunnen voldoen aan uw informatieverplichtingen tegenover hen. Ook bij alle andere gegevensverwerkingen zult u op passende wijze invulling moeten geven aan de plicht om de betrokken personen te informeren.

Hoe die passende wijze eruit ziet? Volgens artikel 12 van de AVG moet de informatieverstrekking in een “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm” ter beschikking worden gesteld, en in “duidelijke en eenvoudige taal” gesteld te zijn. Dat zal, gezien de hoeveelheid informatie die gegeven moet worden, nog niet zo gemakkelijk zijn.

Heeft u vragen?

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
AVG vereist flinke uitbreiding van uw privacyverklaring

Schrijf u in voor onze nieuwsbrief

Schrijf u in voor onze nieuwsbrief