Leestijd: 8 minuten
Eén van de gevolgen van de AVG is dat bedrijven elkaar bestoken met verwerkersovereenkomsten en andere uiterlijke kenmerken van privacy compliance. Zeker rondom 25 mei 2018, toen de AVG van toepassing werd. De privacyverklaring (in het Engels: privacy statement) is een veel gevraagd document. Ook een radioreclame van een grote rechtsbijstandsverzekeraar wekt de indruk dat geen bedrijf zonder kan. Wettelijk verplicht is zo’n verklaring echter helemaal niet.
Transparantie is wél verplicht op grond van de AVG
Er geldt op grond van de AVG een algemeen ’transparantiebeginsel’. Dit is de plicht voor verwerkingsverantwoordelijken om informatie te verstrekken over hoe persoonsgegevens worden verwerkt (artikel 5 lid 1 AVG).
Verder wordt bepaald dat men passende maatregelen moet nemen om de betrokkene informatie te verstrekken wanneer persoonsgegevens bij de betrokkene worden verzameld (artikel 13 AVG). Maar ook wanneer men van derden persoonsgegevens over de betrokkene heeft ontvangen (artikel 14 AVG).
Het doel van de verplichte transparantie naar de betrokkene toe is om deze in staat te stellen zijn controlerechten te gebruiken, zoals het recht op inzage (artikel 15 AVG), het recht op verbetering (artikel 16 AVG) en het recht op gegevenswissing (artikel 17 AVG). Door transparantie is controle immers mogelijk. Precies hoe deze transparantie moet worden geboden laat de AVG volledig in het midden.
Het moment van informatie verstrekken
Het moment waarop informatie moet worden gegeven hangt af van van wie de persoonsgegevens zijn verkregen. Is dat van de betrokkene zelf, dan moet deze geïnformeerd worden bij de verkrijging van de persoonsgegevens. Dat betekent dat als op de website van de bezoekers meteen persoonsgegevens worden verwerkt, zoals IP-adres of cookies, dat op dat moment de informatie beschikbaar moet zijn. Een privacyverklaring op de website, al dan niet via een cookie banner, is dan verplicht. Er hoeft dan in principe niet verklaard te worden over andere verwerkingen, die nog niet zijn aangevangen. Pas wanneer de persoonsgegevens voor een transactie of dienstverlening worden gebruikt, dient op dat moment daarover transparantie geboden te worden. Informatieverstrekking mag achterwege blijven als de betrokkene de informatie al heeft.
Wordt de informatie over de betrokkene niet van de betrokkene zelf, maar juist van derden verkregen, dan geldt dat binnen een redelijke termijn, maar uiterlijk binnen één maand openheid gegeven moet worden. Dit hangt echter af van de concrete omstandigheden van het geval. Wanneer deze gegevens worden gebruikt voor contact met de betrokkene, dan moet het uiterlijk op het moment van het eerste contact. Wanneer gegevens worden doorgegeven aan een ander, dan moet dat bij de eerste doorgifte. Informatieverstrekking mag achterwege blijven als de betrokkene de informatie al heeft of wanneer het vestrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen. Deze laatste open uitzondering biedt zowel rechtsonzekerheid als mogelijkheden om onder de melding uit te komen.
Privacyverklaring kan handig zijn
De strekking van de regel is dat men openheid geeft over wat men hoe verwerkt over de betrokkene. Dat is wettelijk verplicht. Het moment van verstrekken hangt vervolgens af van het moment van het starten van de verwerking. Om een overvloed aan vragen van betrokkenen te voorkomen plaatsen veel (grote) bedrijven een uitgebreide privacyverklaring op hun websites. Op deze wijze proberen ze te voorkomen dat hun helpdesks niet worden belast met vragen naar informatie die al op hun websites te vinden is. De Autoriteit Persoonsgegevens geeft aan dat een online privacyverklaring de meest handige manier is om te voldoen aan de verplichting tot transparantie.
Als een bedrijf besluit een privacyverklaring op te stellen, dan moet de scope worden vastgesteld. De meeste privacy statements concentreren zich puur op wat de website doet. Sommige privacyverklaringen geven alle verwerkingsactiviteiten prijs aan bezoekers, ook als zij géén klant worden. Weer anderen zitten er tussenin: informatie over de meer openbare verwerkingen, maar verdere informatie volgt pas later bij een overeenkomst.
Vervolgens dient ook de mate van detail van de verwerkingsactiviteiten te worden bepaald. De AVG laat hier in de praktijk wat ruimte in. Er moet weliswaar over van alles geïnformeerd te worden, maar dat kan van grofmazig tot fijnmazig. Bedrijven met beroepsgeheim zullen meer algemene formuleringen dienen te gebruiken. Andere bedrijven willen juist zo transparant mogelijk zijn om het vertrouwen van de consument te winnen.
Vereisten van een privacyverklaring
Wat er precies in een privacy statement moet staan wordt opgesomd in de artikelen 13 en 14 AVG. Het komt er volgens de Autoriteit Persoonsgegevens op neer in meer begrijpelijke taal:
- De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van uw vertegenwoordiger in de EU;
- De contactgegevens van de FG (functionaris voor gegevensbescherming) als u die heeft;
- De doeleinden en rechtsgrond van de verwerking, en als u zich beroept op een gerechtvaardigd belang: op welk belang u zich beroept;
- De (categorieën van) ontvangers van de persoonsgegevens;
- Of u van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond;
- De bewaartermijn van de gegevens;
- De rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering;
- Het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken;
- Dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder;
- Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
- Of u gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe u besluiten neemt;
- Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.
Daarbij moet worden aangetekend dat de derde bullet enkel geldt voor gegevens die direct van de betrokkene zijn ontvangen. Bovendien geldt voor persoonsgegevens die van derden zijn ontvangen dat daarover ook moet worden prijsgegeven welke categorieën van persoonsgegevens het betreft.
Conclusie
Weeg af wat voor uw organisatie het meest handige is om te hanteren: volledige transparantie vooraf of transparantie op het juiste moment in de juiste context. Bij NORD hebben we gekozen voor het eerste. Zie daarvoor onze privacyverklaring. Alle (auteurs)rechten daarop worden door ons voorbehouden, uiteraard ;-). Het is verder zaak om de privacyverklaring niet te verwarren met een zogenaamde disclaimer, want zo’n tekst probeert enkel aansprakelijkheid uit te sluiten.