De privacyverklaring op een website wordt veelal stiefmoederlijk behandeld. In veel gevallen staat het document verscholen in een donker hoekje van de website, is het document onvolledig of voldoet het niet aan de Privacywet. Op andere websites is de privacyverklaring totaal afwezig.
Toch heeft de privacyverklaring de verdienste dat het thans doorgaans het enige document is in een onderneming waarin het verwerken van persoonsgegevens ter sprake komt. Eigenaardig genoeg is de aandacht voor de privacyverklaring met de komst van de GDPR naar de achtergrond verschoven. Iedereen vraagt zich thans af hoe een verwerkingsregister dient opgesteld of een datalek dient aangegeven te worden Vragen over de privacyverklaring blijven uit.
Dit is onterecht. In tijden waarin iedere zoekopdracht naar een onderneming over het internet gebeurt, is de privacyverklaring het eerste uithangbord van de onderneming naar de manier waarop zij met persoonsgegevens omgaat. Een goede en duidelijke privacyverklaring straalt vertrouwen uit richting klanten en andere betrokkenen. Daarenboven kan de privacyverklaring een eerste aanknopingspunt zijn voor een onderzoek van de Privacycommissie.
Hoe op te stellen?
De GDPR stelt dat iedere verwerkingsverantwoordelijke haar betrokkenen dient te informeren omtrent de persoonsgegevens die zij over de betrokkene verwerkt.
Hierbij dient zij minstens de volgende informatie te verschaffen:
de identiteit en contactgegevens van de verantwoordelijke organisatie;
de contactgegevens van de privacy officer, als de organisatie een privacy officer heeft;
de doeleinden waarvoor de persoonsgegevens worden verwerkt;
de juridische grondslag waarop de verwerking is gebaseerd (zoals toestemming van de betrokkene, de uitvoering van een overeenkomst met de betrokkene of een gerechtvaardigd belang waarvoor de verwerking nodig is en dat zwaarder weegt dan het privacybelang van de betrokkene);
het gerechtvaardigd belang dat de verwerking noodzakelijk maakt, wanneer het gerechtvaardigd belang de juridische grondslag voor de verwerking is;
de (categorieën van) ontvangers van de persoonsgegevens (zoals onderaannemers of bewerkers);
of de persoonsgegevens worden doorgegeven naar een land buiten de Europese Unie en zo ja, welke waarborgen er zijn getroffen om ervoor te zorgen dat ook in dat land een passend beschermingsniveau wordt geboden (zoals het sluiten van een Europees modelcontract of een Privacy Shield certificering);
de bewaartermijn van de gegevens of, wanneer een vaste bewaartermijn niet vooraf kan worden vastgesteld, de criteria op basis waarvan de bewaartermijn te zijner tijd wordt bepaald;
de rechten die de betrokkene heeft (meer specifiek: de rechten op inzage, correctie, verwijdering, afscherming, overdraagbaarheid en het recht om toestemming voor de verwerking in te trekken, als de toestemming de juridische grondslag is waarop de verwerking is gebaseerd);
dat de betrokkene een klacht kan indienen bij de Privacycommissie;
of de betrokkene (contractueel of wettelijk) verplicht is om zijn gegevens te verstrekken en wat de gevolgen zijn als hij dat niet doet.
Deze informatie moet op een begrijpelijke manier worden geformuleerd en dient aangepast te zijn aan de doelgroep die de onderneming wenst te bereiken. Indien de informatie voor een kind bestemd is, dient de informatie in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen. Hierbij kan bijvoorbeeld gebruik gemaakt worden van illustraties of het vertonen van een video.
De informatie moet volledig, transparant zijn. Hierbij is het belangrijk dat de doeleinden waarvoor de persoonsgegevens worden gebruikt volledig, duidelijk en op een eerlijke manier worden weergegeven. Het kan een goed gebruik zijn om naast de bovengenoemde verplichtingen eveneens de veiligheidsmaatregelen die de onderneming neemt ter bescherming van de persoonsgegevens toe te lichten.
Daarenboven moet de privacyverklaring vanop iedere pagina van de website onmiddellijk bereikbaar zijn. Een privacyverklaring mag je niet verborgen zijn in de algemene voorwaarden of een ander document: het moet transparant en gemakkelijk toegankelijk zijn. Dit is niet meer het geval wanneer de privacyverklaring in een ander document wordt weergegeven zodat de gebruiker het niet evident op de website kan terugvinden.
Conclusie
De privacyverklaring is hét document waarop een onderneming aan de buitenwereld kan tonen op welke manier zij omgaat met persoonsgegevens. Zorg er aldus niet alleen voor dat er een privacyverklaring op uw website aanwezig is, maar dat deze ook actueel, volledig en duidelijk is.