Juridisch werk is maatwerk, dat is 1 van de dingen die ik al-tijd roep wanneer het gaat over het opstellen van juridische documenten. Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. In deze privacywet is opgenomen dat iedere ondernemer verplicht een privacyverklaring moet hebben. Oeff, dat betekent verplicht geld uitgeven.

Of toch niet?

Daar werd natuurlijk al snel een oplossing voor gezocht en zo ontstond een online generator om je privacyverklaring op te laten stellen. Je vult een paar gegevens in en na een paar minuten komt je privacyverklaring eruit rollen. Ideaal! Behalve dat je dan een standaard document krijgt, waarbij minimaal rekening is gehouden met JOUW onderneming en met JOUW wensen. Nu kun je het standaard document wat er uitrolt dan zelf natuurlijk nog proberen aan te vullen, maar dan heb je weer geen idee of datgene wat je aanvult wel wettelijk klopt.

Is een privacyverklaring overnemen van 1 van je collega’s geen optie?

Het lijkt misschien wel ideaal om in plaats van een standaard document een privacyverklaring van 1 van je collega’s over te nemen. Waarom het niet zo slim is om juridische documenten van een collega over te nemen, heb ik al in de vorige blog uitgelegd.  

Een standaard privacyverklaring bestaat in mijn ogen dus niet. Toch zijn er wel een paar onderwerpen die wettelijk in iedere privacyverklaring terug moeten komen. Welke onderwerpen dat zijn, vertel ik jou in dit artikel.

Welke onderwerpen moet iedere ondernemer in haar privacyverklaring opnemen?

Vormvereisten

Om te beginnen moet de privacyverklaring aan een aantal vormvereisten voldoen. Allereerst moet de privacyverklaring transparant zijn. Dat betekent dat je duidelijk moet zijn in wat je doet en de privacyverklaring zichtbaar maken. Zo mag de privacyverklaring geen onderdeel van je algemene voorwaarden zijn. De verklaring moet echt als een apart document worden geplaatst en makkelijk vindbaar zijn. Je kunt hem bijvoorbeeld in de footer van je website plaatsen.

 

Daarnaast moet de verklaring eenvoudig leesbaar en begrijpelijk zijn. Dit betekent enerzijds dat er geen juridisch jargon mag worden gebruikt en anderzijds dat de privacyverklaring beschikbaar moet zijn in de taal die  klanten begrijpen. Wanneer jij dus veel met buitenlandse klanten werkt, volsta je niet met een volledig Nederlandse verklaring.

 

Inhoudelijk

Qua inhoud moet in jouw privacyverklaring het volgende staan:

  •     Welke persoonsgegevens jij verwerkt;
  •     Waarom je dit doet;
  •     Welke juridische grondslag je hiervoor hebt;
  •     En hoe lang je deze gegevens zult bewaren.

Hieronder licht ik toe welke zaken jouw privacyverklaring inhoudelijk moeten bevatten.

Contactgegevens

Je begint je privacyverklaring met de contactgegevens van jou als verwerkingsverantwoordelijke. Dit zijn onder andere jouw naam, de naam van jouw onderneming en de Kamer van Koophandel gegevens. Dit betekent dat jouw vestigingsadres ook in jouw privacyverklaring moet komen staan.

Persoonsgegevens

Vervolgens neem je op welke persoonsgegevens je verwerkt. Dit is waarschijnlijk een hele lijst waardoor ik je aanraad dit per doel uiteen te zetten.

 

Denk hierbij bijvoorbeeld aan:

  •      Persoonsgegevens die jij verwerkt om je werkzaamheden überhaupt uit te kunnen voeren;
  •      Persoonsgegevens die je gebruikt voor direct marketing (waaronder je nieuwsbrief);
  •      Gegevens die jij op je facturen zet;
  •      Jouw klantenbestand;
  •      Jouw klachtenafhandeling;
  •      Jouw portfolio;
  •      Het gebruik van Google Analytics en/of een Facebook Pixel;
  •      Gegevens die jij verwerkt via je contactformulier op je website;
  •      Het plaatsen van testimonials;
  •      En reacties die bezoekers achter kunnen laten onder jouw (blog)artikelen.

Juridische grondslagen

Bij al deze verschillende doelen dien je ook de juridische grondslag te noemen die jij hebt om deze gegevens te mogen verwerken. We kennen 6 juridische grondslagen:

  1. Uitvoering van de overeenkomst. Wanneer jij bijvoorbeeld een webshop hebt, heb je voor het kunnen versturen van de bestelling (en dus het uitvoeren van de overeenkomst) iemands adres (=persoonsgegeven) nodig.
  2. Expliciete toestemming. Deze grondslag is bijvoorbeeld van toepassing bij een inschrijving op jouw nieuwsbrief.
  3. Wettelijke verplichting. Volgens de Belastingdienst dien jij je facturen minstens 7 jaar te bewaren en dienen deze facturen bepaalde (persoons)gegevens te bevatten.
  4. Gerechtvaardigd belang. We onderscheiden deze grondslag in een maatschappelijk of commercieel belang.
  5. Vitaal belang. Deze grondslag komt eigenlijk alleen maar voor in zaken van leven of dood (bijvoorbeeld bij ambulancepersoneel).
  6. Algemeen belang. Het beschermen van het algemeen belang is een grondslag die met name door overheidsinstanties wordt gebruikt.

Als zzp’er zul je  voornamelijk een keuze moeten maken tussen de eerste 4 grondslagen, waarbij je dus bij elk doel apart moet overwegen welke grondslag de verwerking rechtvaardigt.

Bewaartermijnen

Bij al deze doelen noem je vervolgens hoe lang je de gegevens zult bewaren. Je kunt hierbij een concrete of een wat meer abstracte termijn noemen.

Wanneer je al weet hoe lang je de gegevens zult bewaren, neem je dit concreet en expliciet op. Die gegevens op je facturen bewaar je bijvoorbeeld 7 jaar voor de Belastingdienst. Het kan ook zijn dat je nog niet precies weet hoe lang je bepaalde gegevens zult bewaren, bijvoorbeeld bij een inschrijving op jouw nieuwsbrief. Je kunt dan iets opnemen als: “We zullen jouw gegevens verwijderen zodra jij je uitschrijft voor de nieuwsbrief”. Belangrijk is dat de AVG bepaalt dat je gegevens niet langer mag bewaren dan voor jouw doel nodig is. Je mag gegevens dus niet oneindig bewaren.

Extra tip: Als je de termijnen netjes in je privacyverklaring hebt opgenomen, dien je je hier natuurlijk ook aan te houden. Bewaar jij gegevens die jij nodig hebt voor de uitvoering van jouw overeenkomst bijvoorbeeld een jaar? Zorg ervoor dat je zo’n termijn dan inplant in je agenda.

Hoe heb je deze gegevens verkregen?

Vaak zul je de gegevens die je verwerkt van deze personen zelf hebben gekregen. Wanneer zij bijvoorbeeld een product bij jou bestellen, zullen ze zelf hun verzendgegevens invullen. En wanneer zij contact met je willen opnemen, zullen zij zelf de juiste contactgegevens verstrekken via het contactformulier op jouw website.

Wanneer je als verwerker werkt, kan het zijn dat jij voor de werkzaamheden die jij voor jouw klanten uitvoert, persoonsgegevens en/of contactgegevens van personen hebt gekregen. Stel dat jij werkzaam bent in de marketingbranche en voor jouw opdrachtgever maandelijks een nieuwsbrief in zijn systeem opstelt en verstuurt. Jij hebt dan inzage tot de e-mailadressen van inschrijvers op die nieuwsbrief van jouw opdrachtgever. Die e-mailadressen heb jij zelf niet verzameld.

Als dat het geval is, dien je niet alleen een verwerkersovereenkomst aan die opdrachtgevers te verstrekken, maar dit ook op te nemen in jouw privacyverklaring.

Rechten

Vervolgens dien je de rechten die de lezers van jouw privacyverklaring (dit zijn dus niet alleen je klanten, maar ook websitebezoekers) hebben in jouw verklaring op te nemen.

 

Dit zijn de rechten die de lezers van jouw privacyverklaring hebben:

  1. Het recht op inzage. Jouw lezers hebben het recht om de hun gegevens in te zien die door jou zijn verwerkt.
  2. Het recht op wijziging. Wanneer een lezer op basis van die inzage zijn gegevens wilt laten aanpassen, kunnen zij hier bij jou een verzoek voor indienen. Wanneer jij een webshop hebt of met een ander persoonlijke account werkt, kunnen zij dit vaak ook zelf doen.
  3. Het recht op bezwaar. Jouw lezers mogen ook bezwaar maken tegen de verwerking van hun gegevens. Jij dient vervolgens een afweging te maken of jouw belang van verwerking zwaarder weegt dan het belang van de bezwaarmaker. Dit hangt ook samen met dat gegeven toestemming altijd ingetrokken kan worden.
  4. Het recht op gegevensoverdracht. Dit wordt ook wel dataportabiliteit genoemd. Wanneer jouw klant over wilt stappen, dien jij de verwerkte gegevens te verstrekken in een gestructureerde en gangbare vorm. Deze vorm moet door gangbare digitale systemen kunnen worden geopend. Je kunt hierbij denken aan DNS-gegevens en een verhuiscode wanneer er van webhosting wordt gewisseld.

Bij deze rechten dien je te vermelden hoe jouw lezers gebruik kunnen maken van de rechten (je neemt hier dus een e-mailadres in op waar zij hun verzoeken heen kunnen sturen). Vervolgens dien je binnen 30 dagen kosteloos op dit verzoek te reageren.

Doorgifte

Jij werkt voor je onderneming gegarandeerd met derden samen. Nu hoeft dat niet altijd een natuurlijke persoon zoals een VA of boekhouder te zijn, maar hierbij kun je ook denken aan je mailprovider, websitehost of boekhoudprogramma.

Deze partijen krijgen toegang tot de door jou verzamelde gegevens. Naast dat je verwerkersovereenkomsten met deze derde partijen af moet sluiten, dien je ze ook even te benoemen in je privacyverklaring. Je hoeft deze partijen echter niet bij naam te noemen. Als dat wel het geval zou zijn, zou je ook iedere keer dat je met een andere derde partij werkt je verklaring aan moeten passen.

We kunnen al deze derde partijen in 3 categorieën plaatsen. Je noemt in je privacyverklaring aan welke categorieën jij je gegevens door kunt geven.

 

De 3 categorieën waarin je partijen kunt plaatsen, zijn:

  1. Verwerkers (bijvoorbeeld je hosting);
  2. Partijen betrokken bij de uitvoering van jouw overeenkomst (bijvoorbeeld PostNL);
  3. En externe adviseurs (bijvoorbeeld een incassobureau).

Slotbepalingen

Hoewel je dit laatste onderdeel ook op kunt nemen onder het kopje “Rechten”, vind ik dat je het beter aan het einde van je verklaring kunt plaatsen. In de slotbepalingen neem je namelijk onder andere op dat de lezers van jouw verklaring een klacht in kunnen dienen bij de Autoriteit Persoonsgegevens wanneer zij het niet eens zijn met jouw manier van omgang met persoonsgegevens. Hier kun je tevens benoemen dat je de privacyverklaring kunt wijzigen en de lezer daarom aanraadt deze regelmatig te raadplegen.  

Let op!

Dit zijn de onderdelen en vormvereisten die in iedere privacyverklaring terug moeten komen. Deze zullen echter volledig moeten worden uitgewerkt naar jouw specifieke, individuele onderneming. Wil jij er zeker van zijn dat jouw privacyverklaring compleet is en aan alle wettelijke vereisten voldoet? Laat deze dan altijd even controleren door een jurist.

 

 

Sharon de Rooij

Sharon de Rooij

Founder Lady Lawyer

Jurist voor ondernemers met als missie het onbegrijpelijke begrijpelijk maken door op een informele manier het formele mogelijk te maken. Voornamelijk kennis op het gebied van algemene voorwaarden en privacy (juridisch fundament).

28 jaar, Digital nomad by accident. (Het opstellen van juridische documenten met de wereld aan mijn voeten). D/t taalnazi, karamel zeezout en kaas verslaafd en storiesfanaat.