Geen vraag te gek
088 973 06 00

Heb jij jouw privacy policy op orde?

Door het hebben van een privacyverklaring ofwel privacy policy kan je betrokkenen informeren over hoe je met hun gegevens omgaat.

Eerder schreven we al over het register van verwerkingen en het sluiten van verwerkersovereenkomsten. In dit artikel gaan we nader in op de privacy policy.

Autoriteit Persoonsgegevens: ‘Alle organisaties die persoonsgegevens verwerken, moeten mensen heldere informatie geven over de persoonsgegevens die zij verwerken en voor welk(e) doel(en) zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het opstellen van een online privacyverklaring.’

Door het hebben van een privacyverklaring ofwel privacy policy kan je betrokkenen informeren over hoe je met hun gegevens omgaat. Als je het hebt over betrokkenen dan gaat het om meer dan de klant. Het gaat hier bijvoorbeeld ook om websitebezoekers, werknemers, bezoekers die in beeld komen van de camerabewaking en iemand die gebruik maakt van het gratis wifi-netwerk. In de privacy policy geef je onder andere aan waar je persoonsgegevens voor verwerkt, wat de grondslag is voor verwerking, of je de gegevens deelt en hoelang je de gegevens bewaart.

Door betrokkenen goed te informeren voldoe je aan de verantwoordingsplicht vanuit de Algemene Verordening Gegevensbescherming (AVG) en zorg je voor transparantie over de verwerking(en) richting de betrokkenen. Ook het informeren over de rechten van betrokkenen is hierbij een belangrijk onderdeel.

Volgens de richtsnoeren moet de informatie beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn. Daarnaast is het van belang om goed te kijken naar de doelgroep. Medewerkers informeer je bijvoorbeeld via het personeelshandboek, klanten informeer je voornamelijk via de website en gebruikers van een app moeten de privacy policy via de app kunnen raadplegen. Het gaat dan altijd om specifieke informatie voor de betreffende doelgroep. Een gebruiker van een app wil immers weten hoe een bedrijf met de  app zijn persoonsgegevens verwerkt.

Binnen een bedrijf zijn er vaak meerdere verwerkingen voor een bepaalde doelgroep. Het is goed om deze gestructureerd terug te laten komen in de privacy policy. Denk hierbij aan het gebruik van een inhoudsopgave zodat je makkelijk kan navigeren. 

Een betrokkene moet in principe vooraf worden gewezen op de verwerking van zijn gegevens, dus voordat zijn gegevens worden verwerkt. Dit kan door een beknopte samenvatting en/of verwijzing naar de privacy policy op een overeenkomst of op het moment dat iemand gegevens invoert op een website.  De privacy policy moet overigens goed te raadplegen zijn en vanaf elke pagina op de website vindbaar zijn.

In de AVG-tool die we aanbieden is een model voor een privacy policy opgenomen. Daarnaast is het mogelijk om de tool samen met een adviseur van INretail te doorlopen waarbij de focus ligt op de inventarisatie van processen en het opstellen van de privacy policy 

Delen