Opstellen van een GDPR conforme privacyverklaring voor uw website
De privacyverklaring wordt door eigenaars van een website of webshop niet zelden stiefmoederlijk behandeld. Het komt dan ook vaak voor dat de privacyverklaring volledig aan het oog wordt onttrokken en daardoor voor de bezoekers nauwelijks terug te vinden is. Daarnaast kan er worden vastgesteld dat het document ook vaak alles behalve actueel en volledig is en daardoor helemaal niet voldoet aan de huidige privacywet. Frappant is bovendien ook dat de privacyverklaring tegenwoordig nog steeds op zeer veel websites en webshops uitblinkt in afwezigheid.
Verwerking van persoonsgegevens
Bovenstaande gezegd zijnde moet er bij stil worden gestaan dat de privacyverklaring het enige document is waarin de verwerking van persoonsgegevens ter sprake komt. Door de introductie van de nieuwe GDPR-wetgeving op 25 mei van dit jaar is de nadruk misschien wel meer dan ooit op privacy komen te liggen. Toch moet er worden vastgesteld dat de privacyverklaring enigszins naar de achtergrond is verdrongen. Dit lijkt op het eerste zicht misschien wat eigenaardig, maar eigenlijk is het dat niet. Het merendeel van de partijen maken zich namelijk vooral druk over het opstellen van een verwerkingsregister en de manier waarop een datalek moet worden aangegeven. Dit zorgt er voor dat de aandacht voor de privacyverklaring nog steeds heel wat minder is dan ze eigenlijk zou moeten zijn.
Het belang van een (actuele) privacyverklaring
Dat het opstellen of actualiseren van een privacyverklaring voor een website of webshop onder de radar blijft is absoluut niet terecht. We leven immers in een tijd waarin haast elke zoekopdracht naar een onderneming gebeurt via het internet. Dit zorgt er voor dat de privacyverklaring het eerste document is welke duidelijk stelt op welke manier een bedrijf met verstrekte persoonsgegevens omgaat. Een actuele, professioneel opgestelde en heldere privacyverklaring straalt niet alleen vertrouwen uit richting uw doelgroep, daarnaast vormt ze tevens het eerste aanknopingspunt voor een onderzoek welke wordt ingesteld door de privacycommissie.
Een GDPR conforme privacyverklaring opstellen
De GDPR-wetgeving geeft duidelijk aan dat elke verwerkingsverantwoordelijke de betrokkenen dient te informeren over de persoonsgegevens die door haar met betrekking tot de betrokkene in kwestie worden verwerkt. Omwille van deze reden is het eigenlijk een vereiste om een privacyverklaring op te (laten) stellen waar de volgende informatie in is verwerkt:
- In eerste instantie dient er te worden aangegeven wat de identiteit evenals de contactgegevens zijn van de verantwoordelijke organisatie.
- Indien het bedrijf een zogenaamde ‘privacy officer’ heeft aangesteld dienen zijn contactgegevens in de privacyverklaring te worden opgenomen.
- Er dient een duidelijke omschrijving in de privacyverklaring te worden opgenomen die aangeeft omwille van welke doeleinden de persoonsgegevens worden verwerkt.
- De juridische grondslag moet worden kenbaar gemaakt. Het betreft hier de juridische grondslag waarop de verwerking van de persoonsgegevens is gebaseerd.
- Het gerechtvaardigd belang welke duidelijk stelt waarom de verwerking van de persoonsgegevens noodzakelijk is. Dit vooral op het ogenblik dat het gerechtvaardigd belang de juridische grondslag voor de verwerking is.
- De partijen die optreden als ontvanger(s) voor de verstrekte persoonsgegevens.
- Of de verstrekte persoonsgegevens al dan niet kunnen worden doorgegeven aan landen die zich buiten de Europese Unie bevinden. Indien ja dient er te worden gesteld welke waarborgen er worden getroffen teneinde er voor te zorgen dat ook in de landen in kwestie een passende bescherming wordt geboden m.b.t. de verstrekte persoonsgegevens.
- De bewaartermijn met betrekking tot de verstrekte gegevens. Is het niet mogelijk om deze bewaartermijn op voorhand vast te stellen? In dat geval moeten de criteria duidelijk worden aangegeven op basis waarvan de bewaartermijn te zijner tijd kan worden bepaald.
- De rechten waar de betrokkene over beschikt. Dit betekent dat er duidelijk in de privacyverklaring dient te worden aangegeven dat elke betrokkene recht heeft op inzage, correctie en zelfs verwijdering van diens eerder verstrekte gegevens.
- Dat de betrokkene steeds de mogelijkheid heeft om een klacht in te dienen bij de Privacycommissie.
- Indien de betrokkene contractueel en / of wettelijk verplicht is om diens gegevens te verstrekken en wat de gevolgen zijn op het ogenblik dat hij of zij weigert om dit te doen.
Zorg voor een heldere privacy verklaring
De bovenstaande informatie vormt natuurlijk een flinke boterham. Het is niet alleen zaak om al deze informatie in de privacyverklaring op te nemen, daarnaast zal de informatie ook op een begrijpelijke manier moeten worden geformuleerd. Bovendien moet elke privacyverklaring steeds zijn aangepast aan de website / webshop of onderneming in kwestie. Belangrijk is in ieder geval dat de informatie die is opgenomen in de privacyverklaring niet alleen compleet, maar daarenboven ook transparant is.
Bijzondere aandacht dient te worden besteed aan de vermelding van het doel of de doelen waarvoor de persoonsgegevens in kwestie verstrekt moeten worden. Dit moet volledig, duidelijk en bovendien op een eerlijke manier weergegeven worden. Neem indien mogelijk ook altijd in uw privacyverklaring op welke voorzorgsmaatregelen de onderneming in kwestie gebruikt met betrekking tot het beschermen van de persoonsgegevens. Hou er tot slot ook rekening mee dat de privacyverklaring direct toegankelijk moet zijn voor de bezoekers. Ze ergens in een donker hoekje van uw website of webshop wegstoppen heeft dus geen enkele zin.
Verwijzing naar privacyverklaring bij gebruik van formulieren
Wordt er in uw website gebruik gemaakt van één of meerdere formulieren? In dat geval is het vanaf de invoering van de GDPR-wetgeving een vereiste om een speciale checkbox te voorzien in elk formulier welke duidelijk aangeeft dat de betrokkene bij het invullen van het formulier kennis heeft genomen van de inhoud van de privacyverklaring. Hou er bovendien rekening mee dat deze checkbox standaard niet aangevinkt mag staan en er bij voorkeur een link naar de privacyverklaring bij moet worden voorzien.
Afbeeldingen in dit blogartikel: © Shutterstock
Beschikken over een actuele en correct opgestelde privacyverklaring is niet alleen erg belangrijk, daarnaast is het onder de GDPR-wetgeving verplicht. Ondanks het feit dat we in dit blogartikel zeer precies hebben aangegeven aan welke eisen een privacyverklaring moet voldoen is het perfect mogelijk dat u er niet meteen veel voor voelt om deze zelf te gaan opstellen. Heeft u nog geen privacyverklaring in uw website opgenomen of is uw privacyverklaring door de jaren heen verouderd geraakt en wilt u deze laten updaten? Dan helpen wij u daarbij graag verder! Aarzel dan ook niet langer en neem snel contact met ons op voor meer informatie.