Privacyverklaring AVG: zo doe je dat

Door Marc Wessels

Vrijdag 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Daar krijgen we allemaal mee te maken: van ZZP’er tot multinational en van sportclub tot liefdadigheidsinstelling. Iedereen moet namelijk een duidelijke privacyverklaring opstellen, waarin uitgelegd wordt hoe je met persoonsgegevens omgaat. Hoe doe je dat? Wat neem je op in de privacyverklaring? Waar moet jouw AVG-tekst aan voldoen?


De Algemene Verordening Gegevensbescherming stelt dat elke instantie passende maatregelen moet treffen om een betrokkene voldoende te informeren. Met betrokkene wordt bijvoorbeeld een klant bedoeld of iemand die zijn gegevens achterlaat om een nieuwsbrief te ontvangen. Deze betrokkene moet op een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier’ geïnformeerd worden. In duidelijke en eenvoudige taal dus en beknopt. Al valt dat laatste niet mee, gezien de lange lijst voorwaarden waar jouw privacyverklaring volgens de AVG aan moet voldoen.

Wat staat er in jouw privacyverklaring?

De Algemene Verordening Gegevensbescherming bepaalt welke algemene gegevens standaard in jouw privacyverklaring moeten staan. Let op: het is een lange lijst. Overigens gelden er aanvullende eisen voor gevoelige gegevens of gegevens die je via derden verzamelt.

Algemene informatie

  • Bedrijfsidentiteit
    Je moet in elk geval je bedrijfsnaam en de contactgegevens vermelden. Deze gegevens moeten overeenkomen met de inschrijving bij de Kamer van Koophandel.
  • Waarom en hoe verzamel je gegevens?
    In jouw privacyverklaring moet je alle doeleinden beschrijven waarvoor je persoonsgegevens verzamelt. Bijvoorbeeld het uitvoeren van een overeenkomst, maar ook het verzenden van een nieuwsbrief. Met rechtsgronden worden zaken bedoeld zoals toestemming, het uitvoeren van een overeenkomst of het aangaan van een wettelijke verplichting.
  • Gevolgen niet verstrekken persoonsgegevens
    In het geval van een wettelijke of contractuele verplichting moet je ook vermelden wat het gevolg is van het niet verstrekken van de persoonsgegevens.
  • Hoe lang sla je gegevens op?
    Hoe lang bewaar je de verstrekte persoonsgegevens? Welke criteria hanteer je om te bepalen hoe lang gegevens opgeslagen worden? Wanneer worden verstrekte persoonsgegevens verwijderd?
  • Inzage, rectificatie of wissen van persoonsgegevens
    Je moet in jouw privacyverklaring aandacht besteden aan het recht op inzage, rectificatie of wissen van persoonsgegevens. Het is vereist dat je de betrokkene wijst op dit recht en dat je aangeeft hoe de betrokkene een dergelijk verzoek kan indienen.
  • Klacht Autoriteit Persoonsgegevens
    De betrokkene heeft altijd het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Je dient de betrokkene hierop te wijzen.

Aanvullende informatie

In sommige gevallen is het noodzakelijk om aanvullende informatie op te nemen in de privacyverklaring. Hieronder hebben we deze voor je op een rij gezet.

  • Functionaris Gegevensbescherming
    Organisaties hebben de mogelijkheid om zelf een Functionaris Gegevensbescherming (FG) aan te stellen. Deze functionaris ziet toe op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp) en dient te worden aangemeld bij de Autoriteit Persoonsgegevens. Heeft jouw organisatie een FG aangesteld, dan moet je in de privacyverklaring de contactgegevens van deze persoon vermelden.
  • Gegevens doorspelen aan een derde partij
    Speel jij gegevens door aan een derde partij, dan moet je vermelden welke partij dit is. In een enkel geval volstaat het noemen van de categorie (bv. betaaldiensten), maar meestal moet je naam en toenaam noemen. Onder het doorspelen van gegevens naar derden valt ook het opslaan van gegevens bij dienstverleners van SaaS-oplossingen.
  • Gegevens verstrekken aan een ‘derde land’
    Staat de server waarop jouw website en de bijbehorende database draaien in het buitenland, dan moet je dit vermelden in de privacyverklaring voor de AVG. Sterker nog, je moet ook vermelden of het desbetreffende land adequaat is verklaard. Belangrijk is dat er in het ‘derde land’ niet makkelijker met persoonsgegevens omgegaan mag worden dan hier. Staat jouw server in een EU-land, dan zit je in elk geval goed.
  • Toestemming intrekken
    Vraag je om toestemming voor het verzamelen van gegevens, dan moet je in de privacyverklaring opnemen dat het ook mogelijk is om de toestemming weer in te trekken.
  • Profiling of geautomatiseerde besluitvorming
    Maak jij gebruik van profiling of geautomatiseerde besluitvorming, vermeld dan waarom je dit doet. Ook dien je te beschrijven wat de verwachte gevolgen zijn hiervan.
  • Gegevens via derden
    Heb jij gegevens niet direct van de betrokkene verkregen, dan moet je vermelden waar de persoonsgegevens vandaan komen. Dit geldt ook voor het verzamelen van gegevens via een openbare bron.

Begrijpelijke taal privacyverklaring

Het opstellen van een privacyverklaring die voldoet aan de AVG heeft dus nogal wat voeten in de aarde. Als je de inhoud eenmaal op orde hebt, volgt de stap naar duidelijke en eenvoudige taal. Denk aan korte zinnen, tussenkopjes, actief taalgebruik, verbindingswoorden en geen jargon (B1-niveau). Voor het opstellen van jouw privacyverklaring is het dan ook aan te raden om niet alleen juristen naar je tekst te laten kijken, maar óók taalkundigen.

Privacyverklaring AVG op je website

Een andere belangrijke vereiste binnen de nieuwe wet, is dat jouw privacyverklaring inzichtelijk is voor betrokkenen. Dat betekent concreet dat de verklaring op je website te vinden moet zijn. Op deze manier kunnen betrokkenen zelf de AVG-tekst opzoeken of je kunt ernaar linken. Belangrijk is vooral dat alle benodigde informatie op de juiste manier wordt verstrekt.

Wanneer verstrek je de privacyverklaring aan de betrokkene?

Alles draait om transparantie voor de betrokkene bij de Algemene Verordening Gegevensbescherming. Je moet dus voortdurend wijzen op de privacyverklaring op jouw website. Geeft de betrokkene zelf zijn of haar gegevens, dan dien je de betrokkene direct te wijzen op jouw privacyverklaring. Komen de gegevens niet direct van de betrokkene, dan moet je binnen een maand de betrokkene alsnog attenderen op de AVG-tekst.

Werk je op basis van toestemming voor het verzamelen van gegevens, dan moet je vóórdat je toestemming verkrijgt, de betrokkene al wijzen op de privacyverklaring. Bijvoorbeeld als je iemand wilt laten inschrijven voor jouw nieuwsbrief. Plaats dus altijd een link naar je AVG-verklaring op het invulformulier. Het gaat er hierbij om dat de betrokkene de mogelijkheid krijgt om de verklaring in te zien.

En hoe nu verder?

Goed, je weet nu wat er allemaal in een privacyverklaring moet staan en waar deze aan moet voldoen, maar hier begint het pas. Het is waarschijnlijk dat je twee versies gaat maken: een uitgebreide versie met alle details en uitzonderingen en een publieksversie. In de publieksversie noem je de hoofdpunten uit jouw privacyverklaring en verwijs je naar de uitgebreide versie. Het is belangrijk, en vereist, dat de publieksversie begrijpelijk en helder wordt opgeschreven.

Hulp nodig bij jouw privacyverklaring?

Onze tekstredacteuren helpen jou graag bij het opstellen van jouw privacyverklaring, zodat deze voldoet aan de Algemene Verordening Gegevensbescherming. Zij denken met je mee en zorgen voor duidelijke taal. Het resultaat: een begrijpelijke en goedlopende AVG-tekst die aan alle eisen voldoet. Dan is dat weer een zorg minder. Neem vrijblijvend contact op voor de mogelijkheden.

© Taalcentrum-VU   /  Algemene voorwaarden: Trainingen - Vertalingen   /  Sitemap   /  Webdesign : RAADHUIS /  Fotografie