Checklist privacyverklaring

18 juni 2018

De privacyverklaring en de AVG blijven hot topic. Nog niet alle bedrijven zijn AVG proof. Het is toch vrij ingewikkelde stof en dat zorgt ervoor dat er heel veel over geschreven en gesproken wordt. Wat mag nu wel, wat mag nu niet, wat moet nu wel en wat moet nu niet. Om er in ieder geval voor de zorgen dat jij je privacyverklaring kunt controleren, hier een checklist!

Moet ik er ook 1 hebben?

Elk bedrijf, kleine ondernemer of groot, dat persoonsgegevens verwerkt moet een privacyverklaring hebben. Dit geldt dus voor grote bedrijven, maar ook voor zzp’ers of voor sommige hobby-bloggers. Een verwerking is een vrij breed begrip: een bewerking zoals verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden, wissen of vernietigen van persoonsgegevens. Een hele lijst met type verwerkingen. Je verwerkt dus al snel gegevens. Maar wat moet er nu in die verklaring staan?

 

Identiteit en contactgegevens

In de privacyverklaring moet duidelijk staan van welk bedrijf de verklaring is. Zo moet je de bedrijfsnaam erin zetten, adresgegevens, e-mailadres en de website waarvoor de verklaring geldt (als je een website hebt uiteraard). Wanneer er in het bedrijf één persoon is aangewezen die verantwoordelijk is voor de verwerking, moet je deze persoon vermelden. Zo weet de lezer bij wie hij of zij moet zijn met een vraag.

Functionaris

In sommige gevallen ben je als bedrijf verplicht om een functionaris aan te stellen. In dat geval moet je benoemen wie de functionaris is en de contactgegevens van deze persoon. Ook dit is nodig, zodat je klant contact met de functionaris kan opnemen wanneer er een bijvoorbeeld een vraag is.

Doelen voor verwerking

Op het moment dat jij persoonsgegevens verwerkt van je klant heb jij daar een reden voor. Waarvoor heb jij de gegevens nodig? Omschrijf wat het doel is van de verwerking. Zo kun je e-mailadressen verwerken voor het versturen van een nieuwsbrief. Je kunt contactgegevens via een contactformulier ontvangen zodat je klant een vraag kan stellen en jij de vraag kunt beantwoorden. Je bewaart vaak ook facturen met gegevens van je klant erop voor je administratie. Zo zijn er oneindig veel doelen waarvoor jij gegevens kunt verwerken.

Grondslag

Voor elke verwerking heb je een grondslag nodig. De wet kent er zes:

  • De klant toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
  • Het noodzakelijk is de gegevens te verwerken voor de uitvoering van de overeenkomst met de klant.
  • De verwerking voor jou noodzakelijk is om te voldoen aan een wettelijke verplichting.
  • Het verwerken noodzakelijk is om de vitale belangen van de klant of van een ander natuurlijk persoon te beschermen.
  • Het noodzakelijk is om de gegevens te verwerken in het kader van de uitoefening van het algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag, die aan jou, als verwerkingsvertegenwoordige, is opgedragen.
  • Het verwerken noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van jouzelf of een derde (hierop zijn wel enkele uitzonderingen van toepassing).

 

Wanneer jij je verwerking baseert op de grondslag gerechtvaardigde belangen, moet je uitleggen wat jouw gerechtvaardigd belang is.

Ontvangers of categorieën ontvangers

Vaak zijn er partijen die voor jou gegevens verwerken. Zij zijn in dat geval de verwerker. Benoem in de verklaring om welke partijen het gaat of omschrijf wat voor soort partij het is. Soms is het handig om specifiek te zijn, bijvoorbeeld google analytics. Maar wat betreft een boekhouder kun je benoemen dat een boekhouder de facturen inziet en daardoor ook de persoonsgegevens van de klant op de factuur.

Bewaartermijn

Voor de persoonsgegevens die jij bewaart moet je een bewaartermijn aangeven. Het idee van de wet is dat je de gegevens niet langer bewaart dan noodzakelijk. De mededeling doen: ik bewaar gegevens niet langer dan noodzakelijk is geen bewaartermijn beschrijven. Er wordt verwacht dat je termijnen of criteria stelt. Een termijn kan zijn: 7 jaar in verband met de wettelijke verplichting vanuit de belastingdienst. Het gaat hier natuurlijk alleen om de factuurgegevens, niet een e-mailadres of telefoonnummer. Deze heb je niet nodig voor de belastingdienst. Voor een e-mailadres en telefoonnummer zal je een andere termijn moeten aangeven. Je kunt ook een criteria stellen: het verwijderen van een e-mailadres voor de nieuwsbrief, direct na uitschrijving hiervoor.

Rechten van je klant

In de privacyverklaring moet je benoemen welke rechten je klant heeft met betrekking tot de gegevens die jij van hem of haar verwerkt. Dit gaat om bijvoorbeeld het inzien van de verwerkte gegevens, wijziging en verwijderen van gegevens en beperken van gegevensverzameling.

Toestemming intrekken

Voor bepaalde verwerkingen moet jij toestemming vragen aan je klant. Een voorbeeld is het toesturen van een nieuwsbrief. Deze toestemming moet je klant altijd weer kunnen intrekken. Je moet ze hier op wijzen. Het idee is dat je dit net zo gemakkelijk maakt als dat het geven van de toestemming ging. Voor een nieuwsbrief kun je bijvoorbeeld kiezen voor een linkje onderaan de nieuwsbrief waar de klant zich kan afmelden.

Klacht

Het is handig om een e-mailadres van jezelf toe te voegen, zodat de klant gemakkelijk contact met je kan opnemen wanneer hij of zij iets van jou wil met betrekking tot de verwerking van zijn of haar persoonsgegevens. Daarnaast ben je verplicht om je klant erop te wijzen dat het mogelijk is om een klacht in te dienen bij de Autoriteit Persoonsgegevens over de manier waarop jij de gegevens verwerkt.

Wettelijke plicht en noodzaak

Er zijn redenen waarom jij verplicht ben om gegevens te verwerken en er zijn redenen waarom het noodzakelijk is dat jij bepaalde persoonsgegevens verwerkt van je klant. Wanneer dat het geval is moet jij uitleggen wat het gevolg is voor de klant wanneer hij of zij de gegevens niet wil afgeven. Een voorbeeld is dat jij zonder bepaalde gegevens niet kan voldoen aan je wettelijke plicht voor de belastingdienst en daarom geen dienst of product kan leveren.

Geautomatiseerde besluitvorming

In sommige gevallen maakt een bedrijf gebruik van geautomatiseerde besluitvorming. Wanneer je hier gebruik van maakt moet je uitleggen wat hier de onderliggende logica van is, wat het belang is bij deze verwerking of wat de verwerkingen voor gevolgen kan hebben voor de klant. Een voorbeeld van een geautomatiseerde besluitvorming is een kredietcheck. Er worden bepaalde punten onderzocht van een klant en daardoor valt hij of zij in een hokje te plaatsen. Het proces wat hiervoor nodig is gaat puur automatisch; hier is niemand voor nodig behalve een systeem. Er is geen mens die hier iets voor hoeft te doen.

Overige punten

Dit zijn de punten die verplicht zijn vanuit de wet. Nu is het wel zo dat op het moment er iets is wat jij nuttig vindt om te melden aan je klant, je deze informatie ook moet delen in de privacyverklaring.

 

 

Het zijn veel punten die je moet beschrijven. Kun jij al deze punten afvinken? Dan ben je goed bezig. Zorg dat alles duidelijk is omschreven voor je klant en dat hij of zij het ook begrijpt.