Het is alweer een jaar geleden dat de Wet bescherming persoonsgegevens (wbp) door de Algemene Verordening Gegevensbescherming (AVG) is vervangen. Een van de zaken die onder de AVG verplicht is voor ondernemers is het hebben van een privacyverklaring.
Het afgelopen jaar is er ontzettend veel gesproken, gediscussieerd en geschreven over de privacyverklaring. Toch zie ik nog steeds dingen fout gaan in de uitvoering van dit verplichte document. In dit artikel bespreek ik de meest voorkomende fouten omtrent de privacyverklaring.
Vormvereisten
“Ik heb geen privacyverklaring nodig”
Hier kan ik inmiddels heel kort over zijn: iedere ondernemer, in welke branche en van welk formaat ook, heeft een privacyverklaring nodig. Sla jij geen gegevens op? Dat maakt niet uit, want ook jij verwerkt gegevens en daarmee is het hebben van een privacyverklaring verplicht.
De plaats van de privacyverklaring
Waar algemene voorwaarden als bijlage bij je offerte horen, hoef jij je privacyverklaring niet actief in je correspondentie mee te sturen. De privacyverklaring moet wel makkelijk vindbaar en te raadplegen zijn. De beste plek hiervoor is je website. Het is dan weer niet de bedoeling dat de lezer nog actief op zoek moet naar de verklaring, door deze bijvoorbeeld onder het kopje “contact” te plaatsen of ergens anders waarnaar doorgeklikt moet worden. De footer is de ideale plek om de privacyverklaring in te plaatsen.
De privacyverklaring als apart document
Naast dat je privacyverklaring niet ergens onder 1 of ander kopje op je website verstopt mag staan, mag dit ook niet in een ander document. Je privacyverklaring mag daardoor geen onderdeel van je algemene voorwaarden uitmaken, maar moet echt een losstaand document zijn.
Toestemming vragen of niet?
Een privacyverklaring is een eenzijdige verklaring en geen overeenkomst. Dit betekent dat je, in tegenstelling tot bij de algemene voorwaarden, geen toestemming of akkoord hoeft te vragen op je privacyverklaring. Vooral bij het aanbieden van een freebie, wordt vaak een aanvinkvakje geplaatst met “ik ga akkoord met de privacyverklaring”. Zolang de downloaders van de freebie de privacyverklaring kunnen raadplegen, is zo’n aanvinkvakje helemaal niet nodig.
Taal
Hoewel er officieel nog geen taalvereiste bestaat onder de AVG, bepaalt deze verordening wel dat je informatie in duidelijke en begrijpelijke taal voor jouw doelgroep moet verstrekken. Wanneer jij je voornamelijk richt op de buitenlandse markt, zullen jouw lezers een Nederlands opgestelde privacyverklaring waarschijnlijk niet begrijpen. Deze zul je dus moeten (laten) vertalen om aan dit vormvereiste van de AVG te voldoen.
Inhoud verklaring
Het opnemen van jouw privéadres
Je begint de privacyverklaring met de gegevens van jou als verwerker. Onder gegevens verstaan we onder andere jouw bedrijfsnaam, je KvK-nummer, maar ook je adres. Ondernemers willen hun adres vaak niet opnemen in hun verklaring wanneer dit tevens hun privéadres is en deze daarmee openbaar op internet komt. Helaas bepaalt de wet toch dat jouw volledige contactgegevens benoemd moeten worden. Een oplossing hiervoor is om een postbusadres aan te schaffen voor een paar tientjes per maand en vervolgens dat adres op te nemen.
Namen verwerkers
1 van de verplichte onderdelen die in jouw privacyverklaring terug moet komen, zijn de categorieën van verwerkers waar jij mee werkt. Dit zijn derde partijen die toegang hebben tot door jou verzamelde gegevens.
We kennen de volgende categorieën “verwerkers”:
- Verwerkers, zoals jouw websitehost;
- Partijen betrokken bij de uitvoering van de overeenkomst, zoals PostNL;
- Externe adviseurs, zoals jouw boekhouder.
Je hoeft al deze partijen niet bij naam te noemen in je verklaring. Wanneer dat wel het geval zou zijn, zou je iedere keer wanneer je gebruik maakt van een nieuwe derde partij je hele verklaring aan moeten passen. Enkel het noemen van de categorieën waar jij gebruik van maakt, is voldoende.
Sharon de Rooij
Founder Lady Lawyer
Jurist voor ondernemers met als missie het onbegrijpelijke begrijpelijk maken door op een informele manier het formele mogelijk te maken. Voornamelijk kennis op het gebied van algemene voorwaarden en privacy (juridisch fundament).
28 jaar, Digital nomad by accident. (Het opstellen van juridische documenten met de wereld aan mijn voeten). D/t taalnazi, karamel zeezout en kaas verslaafd en storiesfanaat.