Privacyverklaringen: hun doel en werkwijze

De maatschappij evolueert snel en zo ook technische ontwikkelingen. We regelen onze zaken steeds meer via het internet, denk aan het afsluiten van verzekeringen / bankieren / winkelen / achteraf betalen / het inzien van onze zorgverzekering en declaraties. Een groot deel van ons leven speelt zich dus af in deze onlinewereld. De keerzijde van de medaille is dat hierdoor veel persoonsgegevens digitaal worden verwerkt, deze bevinden zich dus ergens op het wereldwijde web. Bedrijven moeten daarom de uiterste zorg dragen voor het beschermen van deze vaak gevoelige gegevens. 

De Algemene verordening gegevensbescherming (hierna: Avg) geeft handvatten voor de juiste manier van verwerken. Vooraleer een onderneming gegevens mag verwerken, moet hiervoor een wettelijke grondslag aanwezig zijn. In artikel 6 Avg staan de zes wettelijke grondslagen opgesomd:

1) De betrokkene om wie het gaat heeft toestemming gegeven voor de verwerking
2) Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren
3) Het is noodzakelijk om gegevens te verwerken vanuit een wettelijke verplichting
4) Het is noodzakelijk om gegevens te beschermen om vitale belangen te beschermen
5) Het is noodzakelijk om gegevens te beschermen, om een taak van algemeen belang of openbaar gezag uit te oefenen
6) Het is noodzakelijk om gegevens te verwerken om bepaalde gerechtvaardigde belangen te behartigen

Zodra vaststaat dat er een wettelijke grondslag is, luidt het advies om deze grondslag ergens te vermelden (samen met allerlei andere belangrijke aspecten uit de Avg). Dat doet men veelal via een privacyverklaring, dat is de meest gebruikelijke wijze. Om het transparantiebeginsel te waarborgen, adviseren wij de ondernemer om te allen tijde de volgende aspecten op te nemen in deze verklaringen:

– De wettelijke grondslag om gegevens te verwerken
– Het doel van de verwerking van persoonsgegevens
– De duur van de verwerking
– De rechten van de betrokkene (het recht op inzage / recht op rectificatie / recht op vergetelheid et cetera)
– De identiteit en contactgegevens van de verwerkingsverantwoordelijke (dus de onderneming die in eerste instantie uw gegevens wenst te ontvangen)
– Indien van toepassing, de naam en contactgegevens van de verwerker die tevens in aanraking komt met de persoonsgegevens (denk bijvoorbeeld aan een administratiekantoor of het server hosting bedrijf)
– Indien van toepassing, of de gegevens worden verstrekt aan een land buiten de EU / of een internationale organisatie
– Indien van toepassing, de contactgegevens van de Functionaris gegevensbescherming (niet iedere onderneming maakt hier gebruik van)

Heeft u hulp nodig bij het opstellen van een privacyverklaring of is uw huidige beleid wellicht aan een revisie toe? Schroom dan niet om contact op te nemen met onze juridische specialisten.

jurist@raedshuys.nl | 088-700 73 50 | Parallelweg 2B, 6411 ND, Heerlen

Gerelateerde blogs