Waar je privacystatement volgens de AVG aan moet voldoen

Voldoet je privacy statement aan de AVG? Wanneer heb je er één nodig en wat staat er in een goed privacy statement? Dit en meer lees je in dit artikel.

Wanneer een privacy statement nodig is

Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) in werking getreden. Deze wordt vanaf 25 mei 2018 toegepast. Bijna iedere organisatie verwerkt persoonsgegevens en heeft hier dus mee te maken.

Onder de AVG heb je een verantwoordings- en informatieplicht. Dit betekent dat je moet kunnen aantonen dat je mensen duidelijk informeert zodra je hun persoonsgegevens verwerkt. Een online privacy statement kan handig zijn om mensen te informeren. Ook dwingt het opstellen ervan tot nadenken over hoe je persoonsgegevens verwerkt en beschermt. Kortom: hoe je omgaat met de privacy van mensen. En dat is nou juist het doel van de nieuwe wetgeving.

 

Definitie van privacy

"De mogelijkheid om in eigen omgeving helemaal zichzelf te zijn: iemands privacy schenden is zich ongevraagd met iemand zijn privé-leven bemoeien"

Bron: van Dale

Voorbeelden van persoonsgegevens

"Gegevens zijn persoonsgegevens als de gegevens informatie bevatten over een natuurlijke persoon; en die persoon identificeerbaar is." — Wikipedia

  • Naam
  • Geboortedatum
  • Geslacht
  • Woonadres
  • E-mailadres
  • Telefoonnummer
  • BSN-nummer
  • IP-adres

Ook kan het gaan om gegevens die een waardering over iemands natuurlijke persoon kunnen geven. Ongevraagd kenbaar maken van deze gegevens kan namelijk iemand beperken in de mogelijkheid om helemaal zichzelf te zijn.

  • IQ
  • Opleidingsniveau
  • Godsdienst
  • Ras
  • Gezondheid
  • Inkomen
  • Waarde van bezittingen zoals een huis of auto

Website, nieuwsbrief en intranet

Als je een website, nieuwsbrief of intranet hebt dan is de kans heel groot dat je persoonsgegevens verwerkt.

Denk aan contactformulieren, het gebruik van Google Analytics en eventueel de gegevens die worden opgeslagen in het account van iemand als je een mogelijkheid biedt om in te loggen. Van deze gegevens moet je dus uitleggen hoe, waar en waarom ze worden gebruikt.

Minimale informatie

Deze informatie moet minimaal in je privacy statement te vinden zijn:

  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en evt. van de partijen die gegevens in opdracht van de organisatie verwerken.
  • De contactgegevens van de functionaris gegevensverwerking (als die er is)
  • Het doel en de rechtsgrond van de verwerking. Als de organisatie zich beroept op een gerechtvaardigd belang: op welk belang dit dan is.
  • De (categorieën van) ontvangers van de persoonsgegevens.
  • Of je van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond.
  • De bewaartermijn van de gegevens.
  • De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering.
  • Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken.
  • Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder.
  • Of, en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt.
  • Of er gebruik wordt gemaakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe deze besluiten genomen worden.
  • Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

Bron: Autoriteit persoonsgegevens

Hoe bouw je een top notch corporate website? 31 aandachtspunten voor bezoekers met een beperking