Skip to main content

Privacy statement

Een van de beginselen van de AVG is rechtmatigheid, behoorlijkheid en transparantie.
Dat betekent onder meer dat je verplicht om gebruikers op een duidelijke manier te informeren over de verwerking van persoonsgegevens. Dat doe je bijvoorbeeld met een privacy statement, een informatief bericht aan klanten, gebruikers en relaties over de verwerking van persoonsgegevens.
In een privacy statement dient in ieder geval het volgende te worden benoemd:

De identiteit van de verantwoordelijke.

Bedrijfsnaam, inclusief de adresgegevens van het bedrijf en een contactadres voor privacy gerelateerde vragen.
Contactgegevens van de Functionaris Gegevensbescherming (als die er is).

De doeleinden en grondslagen van de verwerking (je moet alle doeleinden beschrijven).

Rechtsgronden zijn bijvoorbeeld toestemming, uitvoering van een overeenkomst of een wettelijke verplichting. Een doel kan de uitvoering van de overeenkomst zijn, maar het kan ook een marketingdoel zijn, zoals het verzenden van een nieuwsbrief.
Als de website cookies gebruikt (wat vrijwel altijd zo is), dan ben je verplicht uit te leggen wat cookies zijn en wat je daarmee doet. Bijvoorbeeld het vastleggen van IP-adressen voor beveiliging en optimalisering van de website.

Welke (categorieën van) gegevens worden verzameld.
Als de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde is, moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
Als klanten op nieuwsbrieven geplaatst worden, moeten ze daar expliciet toestemming voor gegeven hebben. Ook moet er in elke nieuwsbrief staan hoe men er weer vanaf komt.
Je moet aangeven hoe lang de gegevens bewaard worden, of anders: welke criteria bepalen hoe lang het opgeslagen zal worden.
Categorieën van ontvangers van de persoonsgegevens. Je moet vermelden aan wie de gegevens worden doorgegeven. Bijvoorbeeld omdat de gegevens bij dienstverleners van SaaS-oplossingen worden opgeslagen, maar ook als gegevens worden verzameld en aan een partner worden doorgegeven. Soms volstaat het om alleen de categorie te noemen (zoals ‘betaaldiensten’), maar vaak zul je de specifieke partij moeten noemen.
Worden de gegevens aan een ‘derde land’ verstrekt, bijvoorbeeld omdat de servers in een ander land staan, dan moet je dat ook vermelden. Daarbij moet je ook vermelden of het land adequaat is verklaard (dit zijn in elk geval alle landen in de EU) of dat er passende waarborgen zijn getroffen. Het is belangrijk dat er in een ander land niet makkelijker omgegaan mag worden met persoonsgegevens.
De rechten van de betrokkenen, zoals het recht op inzage en het recht op correctie en hoe betrokkenen gebruik kunnen maken van hun rechten.
Je moet toelichten welke technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Als gegevens met toestemming zijn verkregen, moet je vermelden dat de toestemming ook weer ingetrokken mag worden.
Vermelding van eventueel gebruik van geautomatiseerde gegevensverzameling.
Als er sprake is van geautomatiseerde besluitvorming of profiling, dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn.
Wanneer gegevens niet van betrokkene zelf zijn verkregen, de bron waar de persoonsgegevens vandaan komen, ook als ze van een openbare bron komen.

 
Het privacy statement wordt gezien als een eenzijdige overeenkomst. Houdt er dus rekening mee dat als je klanten of gebruikers in je privacyverklaring meer belooft dan wat de wet voorschrijft, je klanten daarop mogen rekenen, bijvoorbeeld een belofte om de persoonsgegevens niet aan derden door te geven.

Terug naar Over de AVG

Volgende