1. In Privacyverklaring ontbreken verplichte onderdelen
Een Privacyverklaring is een uitgebreid document waarin een aantal verplichte onderdelen moeten staan. Hoe meer onderdelen ontbreken, hoe groter het risico dat je Privacyverklaring niet AVG-compliant is. Je Privacyverklaring moet in ieder geval de volgende onderdelen bevatten:
- je naam en contactgegevens
- de reden (wettelijke grond) die je hebt om persoonsgegevens te verwerken
- wie de persoonsgegevens krijgt
- of je de gegevens buiten de EU doorgeeft en zo ja, op welke wettelijke grond
- hoelang je de persoonsgegevens bewaart
- de rechten van de personen van wie je de gegevens verwerkt
- waar een klacht of verzoek ingediend kan worden
- of en waarom personen verplicht zijn hun persoonsgegevens aan je te geven en wat er gebeurt als toestemming niet wordt gegeven
- of je gebruikmaakt van geautomatiseerde besluitvorming (d.m.v. algoritmes, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst) en zo ja, hoe je dat doet
- of je de gegevens van een andere organisatie hebt gekregen en wie dat is
Heb je nog geen Privacyverklaring? Stel dan hier je Privacyverklaring op. Zo weet je zeker dat je document AVG-compliant is.
2. Klant moet kopie paspoort opsturen
Een van de belangrijkste aspecten van een Privacyverklaring is de rechten van de mensen van wie je persoonsgegevens verwerkt, zoals recht op inzage of verwijdering. Je bent daarom verplicht om die rechten in je verklaring te benoemen en toe te lichten hoe ze die rechten kunnen uitoefenen. Vaak wordt daarbij om een kopie van een paspoort of ander ID-bewijs gevraagd wanneer een dergelijk verzoek wordt ingediend. In de meeste gevallen is dit echter verboden. Bedrijven en andere organisaties hebben normaal gesproken niet het recht om een dergelijke voorwaarde te stellen. Slechts in uitzonderlijke situaties is een organisatie bevoegd om de eis te stellen dat een kopie van een ID-bewijs wordt meegestuurd. Je kunt hierbij denken aan een bank of een werkgever bij de indiensttreding van een nieuwe werknemer.
3. Toestemming voor Privacyverklaring is vereist
Vaak wordt gedacht dat je klant moet instemmen met je Privacyverklaring. Daarom staat er online vaak een vakje met ‘ik ga akkoord met de Privacyverklaring’. In tegenstelling tot Algemene Voorwaarden, is de Privacyverklaring echter een eenzijdige verklaring. Hier hoeft dus niemand mee akkoord te gaan. Wel moet je ervoor zorgen dat je klanten weten dat je een Privacyverklaring hebt en dat deze makkelijk voor ze te vinden is.
4. Privacyverklaring als onderdeel van Algemene Voorwaarden
Uit het voorgaande blijkt dat soms de regels voor Algemene Voorwaarden (AV) en de Privacyverklaring door elkaar worden gehaald. Soms maakt de Privacyverklaring ook deel uit van de AV. Wellicht gebeurt dit vanuit het idee dat het verwerken van persoonsgegevens onderdeel uitmaakt van de relatie tussen klant en ondernemer. Je mag echter de bepalingen van je Privacyverklaring niet opnemen in je AV. De Privacyverklaring is een apart, losstaand document dat geen onderdeel mag uitmaken van een ander document.
5. Aanvullende documenten ontbreken
Verwerk je de verzamelde persoonsgegevens niet zelf, maar laat je deze door een ander verwerken, dan ben je verplicht om een Verwerkersovereenkomst te gebruiken. Dit geldt ook als jullie allebei persoonsgegevens verwerken, zolang de verwerker de gegevens verwerkt in opdracht van jou. Jij bent in dat geval de verwerkingsverantwoordelijke omdat jij bepaalt wat het doel is van de verwerking en hoe dat gebeurt. Controleer ook of je aanvullende documenten als een Protocol Meldplicht Datalekken, Verwerkingsregister, Cookieverklaring of Data Protocol Impact Assessment (DPIA) nodig hebt.
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.