Als je niet Al Voorbereidingen Getroffen hebt, check dan snel ons vorige blogbericht waar we verhaal doen over de scope en consequenties van de nieuwe verordening. Hier vertellen we o.a. wat er aan voorbereidingen getroffen moet worden, waarvan we er vandaag één gaan behandelen.
De Privacy Verklaring
Een goed begin van je AVG voorbereiding is een toegankelijke privacyverklaring die meteen de toon zet voor vertrouwde verwerking van persoonsgegevens. Hiervoor moet je namelijk een helder beeld hebben van de verschillende categorieën persoonsgegevens die verwerkt worden.
Het hebben van een privacyverklaring is al langer verplicht onder de Wet Bescherming Persoonsgegevens maar de eisen waar deze aan moet voldoen veranderen. De nieuwe verordening brengt namelijk betere beïnvloeding en bescherming naar de burger, die daarop wel weten moet wat er beïnvloedt kan worden, hoe en waar.
Vandaar dat deze informatie straks eenvoudig te vinden moet zijn, bijvoorbeeld via een vaste link in de footer. Het moet zo beknopt en transparant mogelijk zijn, wat betekent dat juridisch geschreven boekwerken straks verboden zijn. Ook de niet zo wel besproken betrokkene moet begrijpen wat er bedoeld wordt, met als gevolg dat de tekst op taalniveau B1 geschreven moet worden.
Gedurende deze blog refereer ik naar een aantal voorbeelden van privacy statements:
De kleine statement, van onszelf;
De middelgrote statement, van webwinkel CoolBlue;
De grote statement, van uitzendbureau Yacht.
Met 3 bedrijven die flink variërende verwerkingen uitvoeren vermoed ik de meeste gevallen te dekken.
Het kan zijn dat bepaalde informatie in deze statements is aangepast of ge-update nadat deze blog gepubliceerd is.
Stap 1 : Inzameling inventariseren
Probeer duidelijk te krijgen hoeveel, en welke, persoonsgegevens verzameld worden op je website en/of binnen je CRM/ CMS.
Ten tweede zoek je bij elke individuele inzameling de volgende informatie:
Waar/wanneer je om het persoonsgegeven vraagt;
Waarom je om dit persoonsgegeven vraagt (doelbinding);
De wettelijke grondslag voor verwerking van het persoonsgegeven;
De bewaartermijn, of criteria hiervoor;
De categorieën van ontvangers (bijv. subverwerkers);
Waar van toepassing : maakt het gebruik van geautomatiseerde besluitvorming? (bijv. geautomatiseerde toe- of afwijzing van online kredietaanvragen zonder menselijke tussenkomst);
Waar van toepassing : of er wettelijke verplichtingen, contractuele verplichtingen of voorwaarden voor uitvoering van een contract verbonden zijn aan de inzameling;
Waar van toepassing : of persoonsgegevens naar een derde land (buiten de EU) verstuurd worden en hoe dit beveiligd is.
De laatste 3 punten hoef je alleen aan te kaarten wanneer de stellingen van toepassing zijn op een verwerking die je verricht. Zo lees je in de statement van Yacht bijv. dat “een deel van deze gegevens verplicht zijn om gebruik te kunnen maken van onze dienstverlening”, hiermee wordt aangegeven dat er voorwaarden voor uitvoering van een contract verbonden zijn aan de inzameling.
Wanneer je voor elk persoonsgegeven alle informatie in huis hebt kijk je naar de hoeveelheid informatie en kies je voor de juiste manier van communiceren. In onze statement kies ik voor een kort verhaal om alle verplichtingen te benoemen, dankzij de minimale hoeveelheid informatie. Heb je zoals CoolBlue of Yacht veel meer gegevens om te verklaren, kies dan voor opsomming en/of segmentatie.
CoolBlue heeft op dit moment nog geen bewaartermijn of criterium hiervoor opgenomen in de privacyverklaring en informeert niet genoeg over automatische besluitvorming in de vorm van fraudepreventie checks. Nog niet helemaal AVG-proof dus! Daarnaast zijn er nog een aantal andere, nieuwe, verplichtingen.
Stap 2 : Betrokkenen bedienen
De geïdentificeerde of identificeerbare natuurlijke persoon moet namelijk al zijn/haar nieuwe rechten kunnen lezen én uitoefenen middels de informatie in je privacyverklaring.
Dit betekent dat de volgende informatie verplicht te vinden is :
ze recht hebben op het inzien van alle aan hem/haar gerelateerde persoonsgegevens in jouw bezit. (Recht op inzage);
ze recht hebben op het aanpassen van alle aan hem/haar gerelateerde persoonsgegevens in jouw bezit. (Recht op rectificatie);
ze recht hebben op verwijdering van alle aan hem/haar gerelateerde persoonsgegevens in jouw bezit. (Recht op wissing);
ze recht hebben op ontvangen van alle aan hem/haar gerelateerde persoonsgegevens in jouw bezit. (Recht op dataportabiliteit);
ze het recht hebben om eerder verleende toestemming voor verwerking in te trekken;
ze het recht hebben op klagen bij de Autoriteit Persoonsgegevens.
Daarbij moet ook de benodigde informatie om deze rechten uit te oefenen beschikbaar zijn. De privacy pagina van Yacht heeft begin dit jaar een facelift gekregen in voorbereiding op de AVG. Echter ontbreekt het een en ander om dit statement als volledig compliant te keuren. Yacht biedt haar bezoekers namelijk nergens de mogelijkheid om direct bij de AP te klagen, maar verwijst naar een interne afdeling juridische zaken.
Daarentegen zou Yacht hier hoogstwaarschijnlijk mee weg komen aangezien ze grotendeels voldoen. Mocht de AP Yacht hierover benaderen dan zou het waarschijnlijk gaan om een gesprek, waarschuwing of last onder bestuursdwang.
Het lijkt een hele opgave maar de rechten zijn goed op te sommen in een paar korte zinnen, zoals in ons eigen exemplaar. Het hoeft niet moeilijk te zijn.
Stap 3 : Eventuele extra’s
Onze privacyverklaring bevat een aantal onnodige extra’s die je transparantie extra kracht bij kunnen zetten en vertrouwen wekken bij de betrokkene. Zo praat ik bij onze persoonsgegevens over de versleutelde verzending plus beveiligde server, en heb ik het onderaan nog over ons belang bij privacy en beveiliging evenals trainingen voor personeel.
Linken naar extra en/of verdiepende informatie over bepaalde onderwerpen zorgt voor extra duidelijkheid in je verhaal zonder lappen tekst toe te voegen.
Tevens hebben we ervoor gekozen de cookie policy in de privacyverklaring te plaatsen. Aangezien onze privacyverklaring geen enorme lap tekst is vonden we het samen informatiever dan gescheiden. Mede vanwege het inhoudelijke raakvlak. Dit onderdeel wordt voornamelijk los van de privacyverklaring aangeboden en hoort ook niet bij de verplichte vermeldingen voor een goede verklaring.
De huidige cookiewet is nog gebaseerd op een richtlijn van de EU maar ook deze wordt binnenkort omgezet tot een verordening. De wens is om deze wetgeving dit jaar nog in te voeren, wat waarschijnlijk niet zal lukken. Tegen tijd van invoering zal ik een speciaal verhaal schrijven voor de cookie rookie.
Stap 4 : Alles afronden
We hebben een heleboel informatie verzameld en bekeken, nu moeten we het nog netjes presenteren. Beginnend met de identiteit van je bedrijf. Heb je volgens de AVG een FG nodig voor je organisatie? Dan moet je hem/haar hier ook introduceren met de benodigde contactgegevens.
Vervolgens voeg je alle inzameling van persoonsgegevens toe, voorzien van alle bijbehorende informatie. Vergeet niet om je verhaal makkelijk leesbaar te houden, iets wat CoolBlue al een goed idee vond vóór de AVG er mee kwam.
Tot slot informeer je betrokkenen over zowel de verscheidene rechten die ze hebben als de manier waarop deze rechten uitgeoefend kunnen worden. Vul dit verhaal naar wens aan met wat extra informatie en plaats het op de website!
Stap 5 : Volgende verhaal
We hebben nu een mooie verklaring geschreven voor de betrokkenen van buiten. Echter heb je ook binnen je bedrijf een aantal betrokkenen met gegevens die bescherming behoeven. Helemaal aangezien deze data van werknemers vaak van gevoelige aard is.
Met de komst van de AVG wordt ook een “accountability” (aansprakelijkheid) verplichting ingevoerd, dit wil zeggen dat aangetoond moet worden dat voldaan is aan privacy verplichtingen. Een opgesteld, ingevoerd en nageleefd privacybeleid helpt aantonen dat wordt voldaan aan deze verplichtingen.
De volgende les legt de loep binnen je bedrijf, op beleid dat de beste bescherming van persoonsgegevens bewerkstelligt.
Tot vlot!