De vereisten voor het opstellen van een privacyverklaring

Ieder bedrijf dat persoonsgegevens verwerkt is verplicht een privacyverklaring te hebben op grond van de Algemene Wet Gegevensbescherming (AVG).


Bij bijna elk bedrijf is sprake van een verwerking van persoonsgegevens in de zin van deze wet. Ook gegevens die indirect naar personen te herleiden zijn zijn namelijk persoonsgegevens en bijna alle handelingen die een organisatie daarmee uit kan voeren worden als verwerking beschouwd.


In deze blog zal ik uitleggen waar een privacyverklaring aan dien te voldoen.


AVG vereisten voor privacyverklaring


De AVG verplicht bedrijven een aantal gegevens in de privacyverklaring op te nemen. Dat zijn in ieder geval:

- de naam en contactgegevens van het bedrijf dat verantwoordelijk is voor de verwerking van persoonsgegevens;

- welke persoonsgegevens worden verwerkt;

- met wie de persoonsgegevens worden gedeeld en of gegevens worden verstrekt aan een ontvanger buiten de Europese Economische Ruimte (EER);

- hoe lang de gegevens worden bewaard;

- welke wettelijke grondslag er is om persoonsgegevens te verwerken;

- wat de rechten zijn van degenen van wie persoonsgegevens verwerkt worden en hoe diegene een klacht in kan dienen.


Privacyverklaring opstellen


Het is voor de meeste bedrijven lastig een privacyverklaring op te stellen die geheel voldoet aan deze vereisten. Zonder een goed begrip van de wet en de geldende uitleg daarvan is namelijk goed invulling te geven aan deze vereisten.


Wettelijke grondslagen


Zo kan er slechts uit een aantal wettelijke grondslagen voor de verwerking worden gekozen, die ook weer aan bepaalde voorwaarden moeten voldoen.


Gegevens buiten EER


Indien gegevens worden verstrekt aan een ontvanger buiten de Europese Economische Ruimte (EER), moet vermeld worden aan welk land dat is en of dat land adequaat is verklaard of dat er voldoende passende waarborgen zijn genomen. Dat kan bijvoorbeeld het geval zijn als de server waarop de gegevens zijn opgeslagen in Amerika staat.


Tot voor kort was het voor Amerika zo dat naar de Privacy Shield verwezen kon worden als het bedrijf waarmee de gegevens gedeeld werden zich daarbij had aangesloten. Dit Privacy Shield is recent echter ongeldig verklaard door het Europese Hof van Justitie. Daarom moeten er aanvullende maatregelen getroffen worden, anders mogen er geen gegevens aan bedrijven in Amerika worden doorgegeven.


Aanvullende vereisten privacyverklaring


Soms worden er niet alleen 'standaard' persoonsgegevens maar ook gevoelige gegevens werkt. Gevoelige gegevens zijn bijvoorbeeld gegevens over iemands ras, godsdienst of gezondheid. Daarvoor gelden aanvullende vereisten op grond van de AVG.


Ook als er sprake is van bijzondere omstandigheden, zoals profilering van personen of geautomatiseerde besluitvorming of profilering, moet er aan extra vereisten voldaan worden.


Duidelijke en begrijpelijke privacyverklaring


Tot slot is het zo dat de informatie die hierover wordt opgenomen in de privacyverklaring beknopt, transparant en begrijpelijk moet zijn.


Privacyverklaring opstellen door jurist


Het is daarom altijd aan te raden om de privacyverklaring door een gespecialiseerd jurist op te laten stellen.


Wil je advies over jouw privacyverklaring of er een op laten stellen? Aarzel dan niet om contact op te nemen.


Zie ook: 4 tips voor het opstellen van algemene voorwaarden

En: Het ontslaan van werknemers in verband met het coronavirus

SPECIALISATIES

CONTACT

Email: lisa@lshlegal.nl

Tel.: 0628543640 (Whatsapp)

Of vul het contactformulier in

Informatie over de omgang met uw gegevens kunt u vinden in onze privacyverklaring