Wat is een privacyverklaring?

De GDPR verplicht ieder bedrijf om duidelijk te communiceren met de personen waarvan ze de persoonsgegevens verwerkt (artikel 12-14). Er is geen verplichte vorm vereiste maar doorgaans wordt deze informatieplicht ingevuld door het opstellen van een privacyverklaring.

Voldoet een bedrijf niet aan zijn communicatie plicht dan kan dit zware gevolgen hebben namelijk een boete van maximaal 20 miljoen of 4% van de wereldwijde jaaromzet. Het is dus van het allergrootste belang om je privacyverklaring met de grootste aandacht uit te werken.

Weet wat je doet

Er is geen enkel bedrijf gelijk. Bijgevolg kan er gerust gesteld worden dat een ‘standaard privacyverklaring’ niet bestaat. Wat sommigen ook beweren.

De basis van een goede privacyverklaring is de opmaak van je verwerkingsregister. Je kan geruststellen dat dit wettelijk verplicht register de inventaris van al je verwerkingen met de persoonsgegevens is.

Zeg wat je doet

In je privacyverklaring vertel je dus aan de buitenwereld wat je met de persoonsgegevens doet.

Hoe je dit doet is niet bepaald. Maar het moet wel begrijpelijk zijn voor de buitenwereld. Dus tekst, video, symbolen of een combinatie van dit alles, kan perfect.

De minimale inhoud van jouw privacyverklaring is binnen de GDPR wel omschreven. In ieder geval moet het volgende erin staan:

  • De identiteit en de contactgegevens van de verwerkingsverantwoordelijke
  • Heb je een Data Protection Officer aangesteld dat zal je ook de contactgegevens van de DPO moeten vermelden.
  • Waarom je de persoonsgegevens verwerkt
  • Welke de rechtsgronden zijn voor de verwerking (bijvoorbeeld toestemming, wettelijke verplichting, noodzakelijk voor de uitvoering van een overeenkomst…)
  • Gebruik je het “gerechtvaardigde belang” als rechtsgrond dan dien je duidelijk te vermelden voor welke verwerking je dit doet. Dit kan bijvoorbeeld voor direct marketing.
  • Met welke andere organisaties je de persoonsgegevens deelt. Dit kan nominatief zijn maar het mag ook de categorieën van deze derde ontvangers zijn. Voorbeelden zijn een IT-bedrijf die het onderhoud doet, een clouddienst, …
  • Mocht je het voornemen hebben om de persoonsgegevens door te geven aan een derde land of een internationale organisatie, dan dien je dit ook te vermelden. Vergeet dan ook niet de aanvullende beveiligingsmaatregelen die getroffen zijn te vernoemen.
  • Hoelang je de persoonsgegevens wil bewaren of de criteria om deze retentieperiode te bepalen.
  • Alle rechten die de personen hebben.
  • Heb je verwerkingen op toestemming gebaseerd? Vergeet zeker niet te vermelden dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken.
  • De coördinaten van de Belgische Gegevensbeschermingsautoriteit.
  • Dat de personen het recht hebben een klacht in te dienen bij een toezichthoudende autoriteit;
  • Het bestaan van een geautomatiseerde besluitvorming en het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
  • Alle overige informatie welke nodig is om een transparantie verwerking te waarborgen. Dit dien je als verwerkingsverantwoordelijke zelf vast te stellen.

Leg het uit in begrijpbare taal

Even belangrijk als de correcte inhoud van de privacyverklaring is duidelijkheid. Met andere woorden je mag geen vage termen gebruiken, de taal dient begrijpelijk te zijn voor de gemiddelde persoon van je doelgroep, makkelijke termen en dus geen Wetstraatees. Denk ook hierbij bijvoorbeeld aan het verschil tussen kinderen en volwassenen.

In dit kader is de taal zeer zeker van belang. Heb je bijvoorbeeld ook een website in het Frans dan zal je ook de privacyverklaring in deze taal dienen te publiceren.

Zorg eveneens ervoor dat het document gemakkelijk vindbaar is bijvoorbeeld door het op een prominente plaats op je website te zetten. Bij producten zonder scherm is het mogelijk naar de privacyverklaring te verwijzen op de verpakking van het product.

Waak erover dat er een duidelijk onderscheid is tussen de privacyverklaring en andere niet-privacy gerelateerde informatie zoals algemene gebruiksvoorwaarden, verkoopsvoorwaarden, …

Meer informatie nodig? Contacteer ons  en we helpen je heel graag verder!

Heb je verdere vragen over de GDPR en de implementatie in jouw bedrijf ? Contacteer privacy-expert Rolf Vermeulenrolf@ubora.be , +32 475 96 01 18
Rolf Vermeulen - Ubora

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18

Bart Ocket
Privacy-expert
+32 491 08 37 84

Karel Mol
Privacy-expert
+32 476 30 91 47