De privacyverklaring onder de AVG

Datum 19-11-2018
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (‘’AVG’’) van toepassing binnen de lidstaten van de Europese Unie. De AVG brengt mee dat organisaties die persoonsgegevens verwerken aan bepaalde informatieverplichtingen tegenover de betrokken partijen moeten voldoen. Wat voor rol speelt de privacyverklaring op websites in het kader van deze informatieverplichtingen en welke eisen worden er precies gesteld?
 
Geschiedenis
Onder de nationale voorloper van de AVG, de Wet bescherming persoonsgegevens (‘’Wbp’’), waren organisaties al gehouden om te voldoen aan het transparantievereiste. Dit vereiste hield in dat klanten, werknemers of bezoekers van de website op de hoogte moesten worden gebracht van de persoonsgegevens die werden verzameld en met welk doel dit gebeurde. Vaak namen organisaties deze informatie op in privacyverklaringen. De transparantieverplichtingen uit de AVG zijn nauwkeuriger en vormen minimumvereisten. De privacyverklaring die wellicht als gevolg van de Wbp al was opgesteld, moet kortgezegd AVG-proof worden gemaakt.
 
Karakter privacyverklaring
Veel organisaties zijn zich bewust van het feit dat de betrokkene toestemming moet geven voor het verwerken van zijn/haar gegevens. Vaak wordt via – of onder verwijzing naar – een privacyverklaring toestemming gevraagd voor het verwerken van gegevens. Het geven van toestemming voor het verwerken van persoonsgegevens mag niet in algemene zin gebeuren. De Autoriteit Persoonsgegevens (‘’AP’’) geeft aan dat toestemming moet zien op een specifieke verwerking en een specifiek doel. Een algemene verklaring op de website van een organisatie volstaat dus niet! Met een privacyverklaring wordt (slechts) informatie verstrekt over het technische en feitelijke proces van de verwerking van persoonsgegevens. In feite is een privacyverklaring een eenzijdige overeenkomst, waardoor je niet van betrokken partijen kan verlangen dat zij zich binden aan daarin opgenomen verplichtingen.
 
Inhoud privacyverklaring
De AVG maakt onderscheid tussen organisaties die persoonsgegevens rechtstreeks bij natuurlijke personen verkrijgen, en organisaties die deze gegevens via een andere partij ontvangen. Logischerwijs heeft de laatstgenoemde organisatie een bronvermeldingsplicht. Een privacyverklaring moet daarnaast worden onderscheiden van het privacybeleid. In het beleid komt de informatie uit de verklaring terug, maar dan op een meer organisatorische wijze. Dit heeft te maken met het interne karakter van het privacybeleid en het externe karakter van de privacyverklaring. Naast het vermelden van de doelen en grondslagen voor de gegevensverwerking, is het raadzaam om informatie te verschaffen over de verschillende soorten persoonsgegevens die worden verzameld. Indien de organisatie een Functionaris voor de Gegevensbescherming (‘’FG’’) heeft, moeten de contactgegevens van deze persoon in de privacyverklaring worden opgenomen.
 
Wat kunnen wij voor u betekenen?
Advocatenkantoor Van Rossum ondersteunt organisaties bij het compliant worden aan de geldende wet- en regelgeving van de AVG. In het kader van de verplichtingen die uit de AVG voortvloeien, hebben wij een privacyscan ontwikkeld.        
 
Tegen een vast bedrag ad € 575-, excl. btw, voeren wij een intakegesprek met u en nemen wij de door u gehanteerde contracten en documenten onder de loep. Vervolgens krijgt u via een overzichtelijk rapport helderheid over de mate waarin u momenteel voldoet aan de geldende privacywetgeving.

Uiteraard staan wij ook tot uw dienst wanneer blijkt dat er aanpassingen zijn vereist om te zorgen dat u 100% compliant bent. U kunt hierbij onder andere denken aan het opstellen van contracten, het aanpassen van algemene voorwaarden en het implementeren van een intern privacyprotocol. Deze werkzaamheden worden uitgevoerd tegen een van tevoren overeengekomen vast tarief.  
 
Mocht u op basis van bovenstaande informatie gebruik willen maken van, of meer te weten willen komen over, onze privacyscan, neemt u dan gerust contact met ons op.