Blog

Privacyverklaring: verwerking persoonsgegevens

11/02/2016 - IT/IE

Informeren over verwerking van persoonsgegevens

Iedereen die persoonsgegevens verwerkt, is op grond van artikel 33 en 34 Wet bescherming persoonsgegevens (Wbp) verplicht om de betrokkene hierover te informeren. Dit kan door middel van een privacyverklaring. Een privacyverklaring is bedoeld om, bijvoorbeeld bezoekers van een webwinkel, toe te lichten waarom er persoonsgegevens verzameld worden, welke persoonsgegevens verzameld worden en hoe dat gebeurt. Wanneer u nalaat deze informatie te verstrekken, loopt u, evenals bij het niet melden van een datalek, het risico op een forse boete. In deze blog geef ik een opsomming van de elementen die u in uw privacyverklaring dient op te nemen, waarna ik een aantal van deze elementen nader zal toelichten.

Elementen privacyverklaring

In een privacyverklaring dienen de volgende elementen te zijn opgenomen:

  1. Introducerende bepalingen, waarin u uw identiteit kenbaar maakt;
  2. Wijze van verkrijging van persoonsgegevens;
  3. Doelomschrijving van gebruik;
  4. Beveiliging;
  5. Verstrekking aan derden;
  6. Cookies en tracking;
  7. Google Analytics;
  8. Bewerkersbepalingen;
  9. Recht van inzage, correctie en verwijdering;
  10. Websites van derden;
  11. Wijzigen van de privacyverklaring;

(NB) Het is niet mogelijk om een beperking van aansprakelijkheid ten aanzien van misbruik of onjuist gebruik van persoonsgegevens op te nemen. Als verantwoordelijke heeft u de dwingendrechtelijke plicht om de persoonsgegevens adequaat te beveiligen (artikel 13 Wbp) en te zorgen dat de persoonsgegevens in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt (artikel 6 Wbp). Deze plicht kan niet contractueel worden beperkt.

Wijze van verkrijging van persoonsgegevens en doelomschrijving gebruik

Het heeft de voorkeur om zo specifiek mogelijk te omschrijven welke persoonsgegevens worden verkregen en voor welk doel. De Wbp bepaalt dat persoonsgegevens alleen mogen worden verzameld voor “welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden” (artikel 7 Wbp). In de privacyverklaring moeten deze doelen worden opgesomd en per geval dient te worden toegelicht hoe dit in de praktijk uitpakt. Bijvoorbeeld: ‘uw adresgegevens gebruiken wij om uw bestelling en de factuur toe te zenden’ of ‘uw e-mailadres wordt gebruikt voor toezending van onze wekelijkse nieuwsbrief’.

Verstrekking aan derden

Worden gegevens, bijvoorbeeld klantbestanden, gedeeld met derden, dan is hiervoor aparte toestemming nodig en dient apart uitgelegd te worden waarom de gegevens aan derden zullen worden verstrekt. Dit geldt alleen niet wanneer er sprake is van een bewerkersrelatie (zie verderop). Wanneer gegevens niet aan derden worden verstrekt, wat over het algemeen het geval is, dan is het gebruikelijk om te vermelden dat u geen gegevens aan derden geeft of verkoopt.

Bewerkersbepalingen

U kunt een derde inschakelen om in uw opdracht persoonsgegevens van bijvoorbeeld de bezoekers van uw website te verwerken. In dat geval dient u met deze derde een bewerkersovereenkomst te sluiten. Het bestaan van deze bewerkersrelatie dient u in uw privacyverklaring op te nemen. Het heeft de voorkeur daarbij ook concreet aan te geven welke verwerking door de bewerker zullen worden uitgevoerd.

Indien de bewerker gegevens opslaat in een land dat met betrekking tot persoonsgegevens een ontoereikend beschermingsniveau biedt (gemeten naar EU-maatstaven), is het naast de bewerkersovereenkomst noodzakelijk om een Europees Modelcontract (ongewijzigd) door de bewerker te laten ondertekenen dan wel ondubbelzinnige toestemming te krijgen. Voor intern dataverkeer, kan ook gebruik worden gemaakt van Binding Corporate Rules (BCR). Deze BCR dienen uiteindelijk door de Autoriteit Persoonsgegevens te worden goedgekeurd.

Voor het gebruik van een bewerker in de Verenigde Staten gold voorheen het Safe-Harborverdrag. Het Europese Hof heeft dit verdrag op 6 oktober 2015 ongeldig verklaard. Op 3 februari 2016 hebben de EU en de VS overeenstemming bereikt over het uitwisselen van persoonsgegevens: de EU-US Privacy Shield. Zolang dit programma geen wettelijk kader heeft, dient voor doorgifte van persoonsgegevens naar de VS nog steeds gebruik gemaakt te worden van de hiervoor genoemde alternatieven, zoals het Europees Modelcontract.

Recht van inzage, correctie en verwijdering

Artikel 35 en 36 Wbp geven iedereen wiens persoonsgegevens worden verwerkt het recht van inzage, correctie en verwijdering daarvan. Uw privacyverklaring dient toe te lichten op welke wijze deze rechten kunnen worden uitgeoefend. U kunt specifiek aangeven waar men de gegevens kan vinden (bijvoorbeeld een profielpagina), maar u kunt ook mensen uitnodigen om contact op te nemen.

Wijzigen van de privacyverklaring

Een privacyverklaring is geen overeenkomst, maar een toelichting. De privacyverklaring kan dan ook eenzijdig door u gewijzigd worden. Deze wijzigingen dienen in lijn te zijn met de nieuwe vormen van verwerking en er dient apart toestemming worden gevraagd, tenzij de verwerking op grond van overeenkomst of eigen dringende noodzaak kan worden onderbouwd (artikel 8 Wbp).

General Data Protection Regulation

Op 15 december 2015 hebben de Europese Raad, het Europees Parlement en de Europese Commissie een akkoord bereikt over de hervorming van de EU-gegevensbescherming. Het pakket bestaat uit een algemene verordening gegevensbescherming (ter vervanging van de huidige Richtlijn uit 1995) en de richtlijn gegevensbescherming op het gebied van rechtshandhaving (ter vervanging van het kaderbesluit gegevensbescherming uit 2008). De verordening en de richtlijn zullen naar verwachting in de lente van 2018 in werking treden.

Wilt u hulp bij het opstellen van een privacyverklaring of controleren of uw privacyverklaring aan de wettelijke vereisten voldoet? De advocaten van de ICT/IE-branche helpen u graag verder!

 

Kelly Felt

Contact

  • 050 314 0 840
  • [email]

Blog