Klanten informeren over jouw privacy policy

Sinds afgelopen vrijdag is de nieuwe privacywetgeving, de Algemene verordening persoonsgegevens (AVG), in werking getreden. Dit is van invloed op de privacy policy van jouw bedrijf. In dit artikel lees je welke onderwerpen jij moet verwerken in de privacyverklaring die verplicht op jouw website moet staan. Dit wordt vormgegeven middels een stappenplan en er worden andere belangrijke gegevens op het gebied van privacy policy voor jouw klanten vermeld.

Stap 1 – Verwerking persoonsgegevens

De eerste stap is het achterhalen van welke gegevens jij allemaal over bezoekers op jouw website en klanten verzamelt. Als d.m.v. deze informatie direct duidelijk wordt over welke persoon het gaat of als deze informatie i.c.m. andere gegevens zorgt dat het te herleiden is naar een persoon, dan wordt de informatie beschouwd als persoonsgegevens. Gegevens van overledenen en organisaties (uitzondering: eenmanszaak) zijn geen persoonsgegevens. Gebruik je deze gegevens niet? Dan is onderstaande informatie niet van toepassing op jouw bedrijf. Verwerk je wel persoonsgegeven? Neem dan het stappenplan door om de verplichte privacyverklaring voor jouw website te controleren en eventueel aan te passen.

Stap 2 – Verwerking bijzondere en/of gevoelige persoonsgegevens

Bijzonder en/of gevoelige persoonsgegevens worden extra beschermd door de wet vanwege de potentieel grotere inbreuk op iemands privacy. Voorbeelden hiervan zijn: ras, godsdienst, politieke voorkeur, gezondheid, strafrechtelijk verleden en Burgerservicenummer. In beginsel is het verboden om deze gegevens te verwerken tenzij dit op wettelijke grond gebeurt of dat deze persoon daar uitdrukkelijke toestemming voor heeft gegeven. Een uitzondering op deze regel is dat er voor het verzamelen van gegevens van personen jonger dan 16 jaar toestemming van de ouders of wettelijke vertegenwoordigers nodig is.

Stap 3 – De 6 wettelijke grondslagen voor de verwerking van persoonsgegevens

De vraag is wat de achterliggende reden is waarom je als bedrijf persoonsgegevens verzamelt. Het is belangrijk dat je dit zo duidelijk mogelijk omschrijft in de privacyverklaring op jouw website. Hierdoor zijn klanten en bezoekers hiervan op de hoogte. Houdt er rekening mee dat hierin omschreven wordt o.b.v. welke wettelijke grondslagen dit gebeurt. Hieronder lees je de 6 wettelijke grondslagen voor de verwerking van persoonsgegevens:

Toestemming: De betrokkene heeft toestemming voor de verwerking van zijn/haar gegevens gegeven.
Overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene onderdeel van is. Voorbeeld: Je koopt een broek online en je moet hiervoor je factuurgegevens en bankgegevens doorgeven, zodat het bezorgd en betaald kan worden.
Wettelijke verplichting: Het is verplicht om aan het eind van de privacyverklaring te vermelden wat de mogelijke gevolgen zijn als bepaalde gegevens niet verstrekt worden
Vitaal belang: De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een ander natuurlijk persoon te beschermen
Publiekrechtelijke taak: De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitvoering van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
Gerechtvaardigd belang: Dit belang moet zwaarder wegen dan de privacy van de betrokkene. Voorbeelden hiervan zijn: klanten marketingaanbiedingen doen of toekomstige werknemers screenen.

Stap 4 – Geautomatiseerde verwerking

Neemt jouw bedrijf besluiten o.b.v. geautomatiseerde verwerking over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen? Dan moeten deze personen over deze verwerking en de logica hierachter geïnformeerd worden.

Stap 5 – De tijdsduur voor het bewaren van persoonsgegevens

Op grond van de AVG is er geen concrete bewaartermijn voor persoonsgegevens vastgesteld. De regel hiervoor is dat de gegevens niet langer bewaard mogen worden dan stikt noodzakelijk is voor het doel waarvoor ze verzameld zijn.

Stap 6 – Persoonsgegevens met delen met derden

Bedrijven mogen alleen persoonsgegevens delen met derden als dit voor een verenigbaar doel is. Als gegevens met derden gedeeld worden moet dit vermeld worden in de privacyverklaring. Hierbij is het belangrijk dat als gegevens gedeeld worden met derden die in opdracht van jou de persoonsgegevens verwerken, dat er sancties opgesteld worden in een bewerkersovereenkomst als de gegevens verkeerd worden verwerkt.

Stap 7 – Cookievermelding

In het nieuwsartikel van vorige week over cookies is te lezen dat er toestemming aan de bezoekers moet worden gevraagd door middel van een cookiemelding om zijn gegevens op te slaan. Denk hierbij aan het surfgedrag op de website. Dit hoeft niet vermeld te worden in de privacyverklaring, maar er moet direct toestemming gevraagd worden als iemand jouw website bezoekt.

Stap 8 – Rechten van klanten

De AVG biedt degene wiens gegevens verwerkt worden het recht op inzage, correctie en verwijdering van deze gegevens. In de privacyverklaring moet vermeld worden hoe klanten en/of websitebezoekers van dit recht gebruik kunnen maken.

Stap 9 – Laatste check

Kun jij alle bovenstaande stappen die bij jouw bedrijf van toepassing zijn afvinken, omdat jij deze allemaal in de privacyverklaring voor jouw website vermeld hebt? Dan is jouw privacyverklaring up-to-date. Is dit niet het geval? Verwerk dan de nog niet afgevinkte onderdelen. Op deze manier is jouw klant goed geïnformeerd over jouw privacy policy. Let er daarnaast op dat de persoonsgegevens die jouw bedrijf verzamelt goed beveiligd zijn. Dit is namelijk verplicht geworden door de AVG.

Convident

Nieuwsgierig naar wat Convident doet op het gebied van privacy policy? Lees het in onze privacyverklaring . Heeft jouw organisatie een specifiek vraagstuk en kan Convident je helpen op het gebied van (online) marketing, branding of met het ontwikkelen van een toekomstgerichte website, webshop of app? Neem dan contact met ons op of plan gelijk een afspraak in!