Je ziet ze nog steeds, websites van bedrijven of organisaties waarop geen privacy statement is te vinden. Of eentje die sterk is verouderd, niet aangepast aan de recente regels. Waarom moet je eigenlijk zo’n document op de website hebben staan? En wat moet er zoal instaan?
De Nederlandse Grondwet somt de grondrechten op die burgers hebben. Eén zo’n grondrecht is het recht op privacy: de ‘bescherming van de persoonlijke levenssfeer’, zoals artikel 10 van de Grondwet het mooi noemt. Klanten hebben dan ook een aantal sterke rechten ten aanzien van bedrijven die hun persoonsgegevens verwerken. En verwerken van persoonsgegevens doet elk bedrijf. Denk aan de personeelsadministratie, de brieven van sollicitanten, de abonnementslijst van nieuwsbrieven, het cameratoezicht in en rondom gebouwen en nog veel meer.
Nu is het voor veel mensen niet precies duidelijk wat bedrijven allemaal met hun persoonsgegevens doen. Daarom verplicht de AVG, de Europese privacywet die in 2018 in werking is getreden, bedrijven en organisaties daarover transparant te zijn. In feite is een privacy statement (of privacyverklaring) een soort ‘juridische bijsluiter’ waarin mensen kunnen nalezen wat een bedrijf met hun persoonsgegevens doet en waarom, hoe ze worden beveiligd, wie er toegang toe hebben en welke rechten men heeft.
Wat moet er zoal in een privacy statement staan?
Een standaard privacy statement mag niet in juridische taal worden geschreven. De informatie moet begrijpelijk zijn en in eenvoudige taal zijn geschreven, stelt artikel 12.1 van de AVG. Het moet gaan om alledaagse, eenvoudige taal, toegesneden op het beoogde publiek.
Standaard elementen in een privacy statement zijn:
- de naam van het bedrijf, adresgegevens, KvK-nummer en contactpersoon;
- de typen persoonsgegevens die worden verwerkt, de wettelijke grondslag en het doel van de verwerking;
- hoe lang de persoonsgegevens worden bewaard, en waarom;
- op welke manier de persoonsgegevens worden beveiligd;
- welke derde partijen de persoonsgegevens ontvangen;
- welke rechten betrokkenen hebben, zoals het recht op inzage, correctie en verwijdering;
- uitleg over het klachtrecht en waar men een klacht kan indienen, namelijk de Autoriteit Persoonsgegevens.
Een misvatting: geen akkoord vragen
Soms zie je een website waarop de vraag wordt gesteld: gaat u akkoord met ons privacy statement? En dan kun je als websitebezoeker aanvinken dat je akkoord gaat.
Dit is een misvatting. Met een privacy statement voldoet een bedrijf of organisatie aan zijn zogeheten ‘informatieplicht’. Een privacy statement is niet bedoeld om aan betrokkenen toestemming te vragen. Toestemming moet van de AVG namelijk expliciet en specifiek worden gevraagd, voor elke verwerking van persoonsgegevens waarvoor de wet ‘toestemming’ voorschrijft.
Het privacy statement geeft wel duidelijk aan wat er met persoonsgegevens gebeurt op het moment dat iemand toestemming heeft gegeven. Het is dus van belang dat bezoekers van de website op een duidelijk zichtbare plek het privacy statement kunnen vinden. Ook is het raadzaam vanaf een formulier waar namen en e-mailadressen worden verzameld, bijvoorbeeld om contact op te nemen, een hyperlink aan te maken naar het privacy statement. En omdat een privacy statement steeds kan wijzigen, is het goed om duidelijk op te nemen wanneer de jongste versie is geplaatst: laatst gewijzigd, 28 februari 2019.
Vragen op het gebied van privacyrecht? Neem gerust vrijblijvend contact op.
