De Algemene Verordening Gegevensbescherming (AVG) is een belangrijke Europese wetgeving die de bescherming van persoonsgegevens regelt. Iedere organisatie die persoonsgegevens verwerkt, is verplicht om een privacyverklaring op te stellen. Maar hoe doe je dat precies? In dit artikel bespreken we de stappen die je moet volgen om een privacyverklaring op te stellen die voldoet aan de eisen van de AVG.
Wat is een privacyverklaring?
Een privacyverklaring is een document waarin je uitlegt hoe je omgaat met persoonsgegevens. Het is bedoeld om transparantie te bieden aan de betrokkenen, zodat zij begrijpen welke gegevens je verzamelt, waarom je deze gegevens verzamelt, en hoe je deze gegevens beschermt. De privacyverklaring moet toegankelijk zijn en in begrijpelijke taal geschreven zijn.
Waarom is een privacyverklaring belangrijk?
Een privacyverklaring is niet alleen een wettelijke verplichting, maar het helpt ook om vertrouwen op te bouwen bij je klanten en medewerkers. Als mensen weten hoe je met hun gegevens omgaat, zijn ze eerder geneigd om hun gegevens met je te delen. Daarnaast beschermt een goede privacyverklaring je organisatie tegen mogelijke boetes en juridische problemen.
Stappen voor het opstellen van een privacyverklaring
Hieronder volgen de stappen die je moet doorlopen om een privacyverklaring op te stellen die voldoet aan de AVG-eisen:
1. Bepaal welke gegevens je verzamelt
Het is belangrijk om te weten welke persoonsgegevens je verzamelt. Dit kunnen onder andere de volgende gegevens zijn:
- Naam
- Adres
- E-mailadres
- Telefoonnummer
- IP-adres
- Gegevens over het gebruik van je website
Maak een lijst van alle gegevens die je verzamelt en houd rekening met de bron van deze gegevens. Verzamel je ze rechtstreeks van de betrokkenen of via derde partijen?
2. Geef aan waarom je de gegevens verzamelt
In je privacyverklaring moet je duidelijk maken waarom je de persoonsgegevens verzamelt. Dit kan verschillende redenen hebben, zoals:
- Het aangaan van een overeenkomst
- Het voldoen aan een wettelijke verplichting
- Het beschermen van vitale belangen
- Het uitvoeren van een taak van algemeen belang
- Het nastreven van gerechtvaardigde belangen
Leg uit hoe deze redenen relevant zijn voor de gegevens die je verzamelt.
3. Geef informatie over de rechtsgrond voor verwerking
Volgens de AVG moet je een rechtsgrond hebben voor de verwerking van persoonsgegevens. Dit betekent dat je moet aangeven op basis van welke grond je de gegevens verwerkt. De rechtsgronden zijn onder andere:
- Toestemming van de betrokkene
- Uitvoering van een overeenkomst
- Wettelijke verplichting
- Gerechtvaardigd belang
Verduidelijk welke rechtsgrond(en) je hanteert voor de verschillende soorten gegevensverwerkingen.
4. Geef aan aan wie je gegevens verstrekt
In je privacyverklaring moet je ook aangeven met wie je de persoonsgegevens deelt. Dit kunnen bijvoorbeeld derde partijen zijn, zoals:
- Verwerkers (bijvoorbeeld IT-leveranciers)
- Partners (bijvoorbeeld voor marketingdoeleinden)
- Overheidsinstanties (indien wettelijk verplicht)
Leg uit waarom je deze gegevens deelt en op basis van welke rechtsgrond.
5. Vermeld de bewaartermijn van gegevens
Het is essentieel om in je privacyverklaring aan te geven hoe lang je de persoonsgegevens bewaart. Dit kan variëren afhankelijk van de soort gegevens en de reden voor verwerking. Een algemene richtlijn kan zijn:
- Persoonsgegevens worden bewaard zolang als nodig is voor het doel waarvoor ze zijn verzameld.
- Bij wettelijke verplichtingen moet je de gegevens bewaren tot de wettelijke termijn is verstreken.
Geef een duidelijke uitleg over de bewaartermijnen en de criteria die je hanteert om deze te bepalen.
6. Beschrijf de rechten van betrokkenen
Betrokkenen hebben verschillende rechten onder de AVG. Het is belangrijk om deze rechten in je privacyverklaring op te nemen, zodat mensen weten wat ze kunnen doen met betrekking tot hun persoonsgegevens. De belangrijkste rechten zijn:
- Het recht op inzage
- Het recht op rectificatie
- Het recht op verwijdering (ook wel recht op vergetelheid genoemd)
- Het recht op beperking van de verwerking
- Het recht op gegevensoverdraagbaarheid
- Het recht om bezwaar te maken tegen verwerking
Leg kort uit wat elk recht inhoudt en hoe betrokkenen deze rechten kunnen uitoefenen.
7. Geef informatie over beveiliging van gegevens
Het is cruciaal om aan te geven hoe je de persoonsgegevens beveiligt. Dit omvat zowel technische als organisatorische maatregelen. Voorbeelden van beveiligingsmaatregelen zijn:
- Versleuteling van gegevens
- Toegangsbeperkingen tot gegevens
- Regelmatige beveiligingsaudits
- Bewustwordingstraining voor medewerkers
Verwijs naar specifieke maatregelen die je hebt genomen om de gegevens van betrokkenen te beschermen.
8. Vermeld eventuele internationale gegevensoverdracht
Als je persoonsgegevens overdragen naar landen buiten de Europese Unie, moet je dit ook in je privacyverklaring opnemen. De AVG stelt strenge eisen aan internationale gegevensoverdracht. Je moet duidelijk maken:
- Welke landen betrokken zijn bij de overdracht
- Welke waarborgen je hebt getroffen om de gegevens te beschermen
Geef aan hoe je ervoor zorgt dat de gegevens adequaat worden beschermd volgens de AVG-normen.
9. Update je privacyverklaring regelmatig
Een privacyverklaring is geen statisch document. Het is van belang om deze regelmatig te herzien en waar nodig bij te werken. Dit kan bijvoorbeeld nodig zijn als:
- Je je verwerkingsactiviteiten wijzigt
- Er nieuwe wetgeving wordt geïntroduceerd
- Er wijzigingen zijn in de manier waarop je persoonsgegevens verwerkt
Stel een plan op om je privacyverklaring periodiek te herzien en aan te passen aan de actuele situatie.
10. Zorg voor toegankelijkheid
Ten slotte moet je ervoor zorgen dat je privacyverklaring gemakkelijk toegankelijk is voor betrokkenen. Dit betekent dat je de verklaring op een duidelijke en zichtbare plaats op je website plaatst, bijvoorbeeld in de footer of tijdens het registratieproces. Daarnaast is het belangrijk om de verklaring in begrijpelijke taal te schrijven, zodat iedereen deze kan begrijpen.
Door de bovenstaande stappen te volgen, kun je een privacyverklaring opstellen die voldoet aan de eisen van de AVG. Het is een essentieel document dat niet alleen aan de wettelijke verplichtingen voldoet, maar ook bijdraagt aan het opbouwen van vertrouwen bij je klanten en medewerkers. Neem de tijd om je privacyverklaring zorgvuldig op te stellen en zorg ervoor dat deze regelmatig wordt bijgewerkt. Dit zal je organisatie helpen om op een verantwoorde en transparante manier om te gaan met persoonsgegevens.