Een compliancecheck voor uw privacystatement

Door Jan-Jitze Hees en Jeroen van Nieuwkerk

Voldoet mijn huidige privacy statement aan de eisen van de AVG?

De nieuwe, striktere wetgeving omtrent de bescherming van persoonsgegevens zal vanaf 25 mei 2018 van kracht zijn. Aangezien deze datum steeds dichterbij komt, is het juist nu een goed moment om te checken of het huidige privacy statement voldoet aan de eisen van de Algemene Verordening Gegevensbescherming. Het privacy statement is een beknopte uitleg van het gevoerde privacybeleid aan uw websitebezoeker. Deze statement is doorgaans te vinden onderaan de landingspagina (homepage). Hier zijn alvast drie concrete punten die belangrijk zijn om op orde te hebben.

1. Is het privacy statement in begrijpelijke taal geschreven?

​De inhoud van de privacy statement moet toegankelijk kunnen zijn voor de niet-geïnformeerde lezer.  De huidige wet bescherming persoonsgegevens (wbp) vereist dit overigens al, maar de AVG onderstreept dit opnieuw. Transparantie is een belangrijk uitgangspunt in de nieuwe wetgeving. Het is dus van belang om (te) juridische of abstracte verwoordingen om te zetten in toegankelijk, alledaags taalgebruik.

​Een veelgebruikte ‘wollige’ zinsnede zoals: “Een zorgvuldige verwerking ten behoeve van onder meer het optimaliseren van uw gebruikservaring.”
Kan bijvoorbeeld ‘duidelijker’ geformuleerd worden op deze manier: “[bedrijfsnaam] verwerkt uw persoonsgegevens zodat [bedrijf] nauwkeuriger kan bepalen welke van zijn diensten aan u worden aangeboden.”

Hoe bepaal je echter of het privacy statement ‘begrijpelijk’ geformuleerd is? De AVG geeft hier zelf geen concrete uitleg over. Zij vereist alleen algemeen toegankelijk Nederlands te gebruiken. Een handig ijkpunt om te bepalen of taalgebruik begrijpelijk is voor de algemene, niet-geïnformeerde lezer, is om bijvoorbeeld te kijken naar de normen van het Europees Referentie Kader voor talen (ERK).  Het niveau B (1 en 2) wordt volgens het ERK gezien als het niveau van alledaags taalgebruik.

2. Moeten de contactgegevens van de FG worden toegevoegd?

De AVG roept een nieuwe functie in het leven, namelijk die van de Functionaris Gegevensbescherming (FG). Deze medewerker controleert binnen een organisatie of persoonsgegevens rechtmatig en veilig worden verwerkt. Hij/zij is dus in feite een interne toezichthouder op het gebied van privacy. Voorheen moest in het privacy statement enkel de contactgegevens van de betreffende organisatie zelf staan. Met de AVG zullen óók de directe contactgegevens van de Functionaris Gegevensbescherming moeten worden toegevoegd in het privacy statement.

Overigens hoeven niet alle bedrijven en instellingen een dergelijke medewerker in dienst te nemen.  Onze volgende blogpost gaat verder in op de criteria voor wanneer het vereist is een FG in dienst te nemen.

3. Worden bezoekers gewezen op hun rechten?

De AVG breidt het aantal rechten van de internetgebruiker uit. Nu heeft de internetgebruiker al bijvoorbeeld het recht op inzage, wijziging en verwijdering van zijn persoonsgegevens.  Met ingang van 25 mei 2018 krijgt de consument eveneens de rechten van dataportabiliteit, het recht om vergeten te worden en het recht om gegevensverwerking te beperken.
​
Het privacy statement moet de internetgebruiker wijzen op zijn of haar rechten. Daar horen dus deze bovenstaande nieuwe rechten bij. Het is aan te raden deze rechten expliciet te benoemen.

Wilt u meer weten over compliance met de AVG?​

Transcriptum organiseert, in samenwerking met Immix Advocaten, regelmatig workshops  over de implementatie van de AVG in de praktijk. Zou u graag meer inzicht willen krijgen in de AVG compliance binnen uw eigen, specifieke organisatie, dan kunt u zich hier aanmelden voor één van de workshops.

Deze ééndaagse workshops vinden plaats op:
- maandag 18 september 2017
- woensdag 18 oktober 2017
- vrijdag 1 december 2017

Mocht u zich verder willen informeren, bijvoorbeeld over de aanstelling van een FG,
dan kunt u eveneens contact met ons opnemen via +31 30 711 4033.