Privacystatement
De discussie omtrent persoonsgegevens en privacy is u wellicht vast niet ontgaan. Websites maken steeds meer gebruik van de persoonlijke gegevens die u bewust en onbewust achterlaat. Een reden, zo vindt de Autoriteit Persoonsgegevens, om de regels aan te scherpen. Zo geschieden, vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing zodat de privacyregels in overeenstemming zijn met de Europese privacywetgeving.
AVG
De nieuwe AVG-wetgeving heeft voor twee partijen consequenties, te weten de gebruiker van de persoonsgegevens en de verstrekker van de persoonsgegevens.
Onder de verstrekker van de persoonsgegevens kan worden verstaan, de persoon die zijn persoonsgegevens verstrekt om gebruik te kunnen maken van bepaalde diensten. Een voorbeeld spreekt wellicht meer tot de verbeelding: je koopt nieuwe schoenen bij een webshop en daarvoor is het noodzakelijk om je naam en adresgegevens achter te laten. Om de schoenen te kunnen bestellen betaal je vooraf via een betalingssysteem, zoals iDeal. De webshop bezit nu uw gegevens en om die te beschermen worden in het AVG extra beschermingsmaatregelen genomen.
Rechten verstrekker
De verstrekker van gegevens heeft een aantal rechten op grond van de AVG.
- Het recht op dataportabiliteit, met andere woorden het recht om persoonsgegevens over te dragen;
- Het recht op vergetelheid. De verstrekker kan eisen dat niet alleen de organisatie die er gebruik van maakt de persoonsgegevens verwijderd, maar ook de organisaties die deze gegevens van de deze organisatie hebben ontvangen;
- Recht op inzage;
- Recht op rectificatie en aanvulling;
- Recht op beperking van de verwerking;
- Het recht met betrekking tot geautomatiseerde besluitvorming en profilering ;
- Het ercht om bezwaar te maken tegen de gegevensverwerking;
Aan de andere zijde dient ook de gebruiker van de persoonsgegevens, oftewel de organisatie die de gegevens ontvangt, te voldoen aan de nieuwe wetgeving. Uw organisatie is vanaf 25 mei 2018 verplicht nieuwe en bestaande klanten duidelijk te informeren over wat er met hun persoonsgegeves wordt gedaan. In de praktijk kan een organisatie aan deze informatieverplichting voldoen door middel van een privacystatement of een privacyverklaring te publiceren.
Privacystatement
Om er zeker van te zijn dat uw klanten voldoende zijn geïnformeerd, doet u er verstandig aan om een privacystatement te publiceren op uw website ofwel te verwijzen naar uw website. Indien dit niet tot de mogelijkheden behoort moet u ervor zorgen dat uw klanten op een andere manier worden geïnformeerd.
De privacyverklaring dient een aantal zaken te bevatten:
- De privacyverklaring dient uw bedrijfsnaam en contactgegevens te bevatten zoals die bij de Kamer van Koophandel bekend zijn.
- De organisatie dient kenbaar te maken voor welke doeleinden de persoonsgegevens worden gebruikt. De doeleinden voor een organisatie kunnen van elkaar verschillen. Veelvoorkomende doeleinden zijn marketingdoeleinden en de uitvoering van de overeenkomst.
- De organisatie dient eveneens de rechtsgrond voor de verwerking vermelden. Het is bijvoorbeeld mogelijk om persoonsgegevens te verwerken als partijen daartoe toestemming heeft gegeven door bijvoorbeeld akkoord te gaan met cookies. Ook kan een dergelijke verwerking opgenomen zijn in de overeenkomst of bestaat er een wettelijke verplichting.
- De organisatie dient de privacyrechten van hun klanten te vermelden.
- De organisatie is verplicht om aan te geven hoe lang de gegevens bewaard worden.
- De organisatie is verplicht om haar klant te wijzen op zijn recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
- Tot slot dient de organisatie hun klant te wijzen op de gevolgen van het niet verstrekken van persoonsgegevens indien de verwerking van persoonsgegevens wettelijk of contractueel verplicht is ofwel noodzakelijk is.
In sommige gevallen dient de organsiatie aanvullende informatie te verstrekken.
Ik spreek wellicht voor vele organisaties als ik zeg dat het opstellen van een correcte privacyverklaring niet tot de dagelijkse werkzaamheden behoord. Echter, kunnen de consequenties groot zijn indien u niet tijdig voldoet aan de privacyregels uit de AVG. Zonder privacyverklaring is het immers moeilijk om aan te tonen dat u voldaan heeft aan uw informatieverplichting. U dient verantwoording af te leggen waarbij u moet aantonen dat u aan de privacyregels van de AVG voldoet.
Voldoet u niet aan de AVG dan riskeert uw organisatie een boete van maximaal € 20.000.000,- of 4% van de wereldwijde jaaromzet.
Conclusie
Heeft u vragen over de nieuwe wet-en regelgeving omtrent de privacyrechten? Heeft u advies nodig over de privacyverklaring? Wilt u graag voldoen aan de AVG om boetes te voorkomen? Wij helpen u uiteraard graag met het opstellen van een privacystatement voor een vaste prijs. Neemt u dan vrijblijvend contact op met Lamers Tielemans Advocaten voor meer informatie. Stuur hiervoor een e-mail of bel met 040 – 21 80 515.