AVG: is je privacyverklaring voldoende transparant?

De afgelopen tijd ben je waarschijnlijk overspoeld met e-mail van relaties en leveranciers over een aangepaste privacyverklaring. Mogelijk heb zelf ook aanpassingen doorgevoerd in je privacyverklaring. Voldoet je verklaring aan de vereisten? En heb je ook andere vormen overwogen buiten een schriftelijke verklaring?

Omdat de AVG, ook wel bekend onder de Engelse afkorting GDPR, op het punt van transparantie nogal wat vragen oproept, heeft het onafhankelijke Europese advies- en overlegorgaan ‘Artikel 29 Data Protection Working Party’ (WP29), hierover een richtlijn gepubliceerd. Hiermee wordt aangegeven hoe er met transparantie dient te worden omgegaan.

Belangrijkste vereisten transparantie
De WP29 stelt in haar richtlijn een aantal nadere voorwaarden om aan transparantie te voldoen:

• Je moet ervoor zorgen dat informatie beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is;
• Er moet duidelijke en eenvoudige taal worden gebruikt, waarbij lange zinnen en complexe zinsstructuren worden vermeden. Je zou tevens concrete informatie moeten gebruiken in plaats van tegenstrijdige termen (zoals ‘mogelijk’, ‘sommige’ en ‘kan’) of technische taal.
• De vereiste van duidelijke en eenvoudige taal is van bijzonder belang bij het verstrekken van informatie aan kinderen en andere kwetsbare groepen. De gebruikte woordenschat, toon en stijl van de taal moet aansluiten op het niveau van de doelgroep. Je dient in je verklaring dus rekening te houden met je doelgroep. Indien je je op meerdere doelgroepen richt, zal je dus meerdere privacy verklaringen moeten hebben;
• Je moet informatie schriftelijk beschikbaar stellen, of langs een elektronische weg indien dit meer geschikt is;
• Je moet informatie kosteloos verstrekken. Het verschaffen van transparantie kan niet afhankelijk worden gesteld van andere financiële transacties.

• De meest gangbare manier om alle informatie over de verwerking van persoonsgegevens aan betrokkenen te verstrekken is in de vorm van een schriftelijke privacyverklaring. In de meeste gevallen wordt deze via de website beschikbaar gesteld.
• Uit de richtlijn van WP29 blijkt echter dat ook het gebruik van ‘just-in-time’ contextuele pop-upberichten bijvoorbeeld een optie is. Wanneer deze optie is ingeschakeld, wordt de privacyverklaring als een pop-upvenster weergegeven wanneer iemand de betreffende webpagina bezoekt. Hierbij wordt vereist dat dit weergegeven beleid door de bezoeker wordt geaccepteerd, voordat er kan worden doorgegaan met het browsen op de website.
• Ook video-, stemmeldingen en cartoons worden – onder bepaalde omstandigheden - als een geschikt middel gezien voor het delen van de privacyverklaring. Dit kan met name een goede optie zijn wanneer de informatie gericht is op kinderen.

Door de privacyverklaring in verschillende – creatieve - vormen aan te bieden en hiermee invulling te geven aan transparantie, kunt u zich als onderneming op dit gebied onderscheiden.

Mondelinge toelichting
Op verzoek van de betrokkene dient informatie omtrent privacy ook mondeling (face-to-face of telefonisch) te kunnen worden verstrekt. De verwerkingsverantwoordelijke moet in staat zijn om hiervoor bewijsvoering te leveren. Dit vraagt in dus ook om een aantoonbare registratie, rekening houdend met de privacy van de betrokkene.

Timing updates
Ook de wijze waarop updates voor privacy verklaringen worden verstrekt, is belangrijk. Wijzigingen moeten volgens de WP29 binnen een geschikte tijdsperiode worden gecommuniceerd aan betrokkenen. Dit maakt het noodzakelijk om versiebeheer op je privacyverklaring toe te passen, om inzicht te hebben in welke wijzigingen wanneer zijn aangebracht. De WP29 gaat hier niet verder op in. Kennispartner BDO adviseert om een robuuste privacyverklaring op te stellen, waarbij het aantal door te voeren updates beperkt blijft. Voor leden stelt CLC-VECTA een voorbeeld Privacy Statement in NL en EN beschikbaar, opgesteld door kennispartner DVAN.

Meer weten over de AVG?
Belangrijke info, voorbeelddocumenten en handige links hebben we voor je gebundeld op www.clcvecta.nl/avg. Heb je vragen? Neem dan contact op met Dineke Philipse.

Bron: BDO