Het perfectioneren van de Privacyverklaring: doe je het op de juiste manier?

Het perfectioneren van de Privacyverklaring: doe je het op de juiste manier?
Charlotte Bourguignon

Het perfectioneren van de Privacyverklaring: doe je het op de juiste manier?

Geschreven door: Enzo Marquet

In deze blogpost zullen we dieper ingaan op een ‘goede’ privacyverklaring, waarbij we inzichten, best practices en tips bieden om u te helpen uw beste privacyverklaring op te stellen.

Privacyverklaring versus privacybeleid

Allereerst moet een onderscheid worden gemaakt tussen een privacyverklaring en een privacybeleid. Een privacyverklaring is een extern document dat wordt gebruikt om betrokkenen te informeren over de verwerking van hun gegevens. Een privacybeleid is een intern document voor uw medewerkers over hoe ze persoonsgegevens moeten verwerken. Als zodanig heeft deze blogpost betrekking op de externe privacyverklaring.

Wat moet u toevoegen aan uw privacyverklaring?

De Algemene Verordering Persoonsgegevens (AVG, GDPR in het Engels) bepaalt in artikelen 12 tot en met 14 dat verwerkingsverantwoordelijken passende maatregelen moeten nemen om betrokkenen te informeren over de verwerking van hun persoonsgegevens, en zo ontstond de privacyverklaring.

De structuur is eenvoudig, de volgende informatie moet worden opgenomen:

  • Identiteit van de verwerkingsverantwoordelijke (of diens vertegenwoordiger) en zijn contactgegevens;
  • Contactgegevens van de Functionaris voor Gegevensbescherming (DPO), indien van toepassing;
  • De verwerkingsdoeleinden gekoppeld aan de wettelijke grondslag voor de verwerking;
  • Indien gerechtvaardigd belang wordt gebruikt als wettelijke grondslag, dient de verwerkingsverantwoordelijke ook zijn gerechtvaardigd belang toe te lichten
  • (Categorieën) van ontvangers van de persoonsgegevens;
  • Internationale doorgifte van gegevens en de geïmplementeerde waarborgen;
  • Bewaartermijnen;
  • Alle rechten van betrokkenen, inclusief een link naar de toezichthoudende autoriteit om een klacht in te dienen;
  • Het bestaan van geautomatiseerde besluitvorming en de logica ervan, evenals de impact op de betrokkene.

Wanneer de persoonsgegevens niet rechtstreeks van de betrokkene worden verkregen, moet ook volgende informatie binnen een redelijk termijn worden verstrekt, bijvoorbeeld per e-mail:

  • Categorieën van persoonsgegevens in kwestie;
  • Bron van de persoonsgegevens;
  • Bekendmaking aan andere ontvangers.

Best practices bij het opstellen van een privacyverklaring

Het beheer van een privacyverklaring kan op verschillende manieren worden uitgevoerd en elke situatie vereist een andere aanpak. Zo zal bijvoorbeeld een bedrijf dat voornamelijk met gegevens van kinderen werkt, een aanzienlijk andere implementatie van zijn privacyverklaring nodig hebben dan een bedrijf dat zich bezighoudt met de werving van juridische professionals.

De AVG schrijft voor dat de vereiste informatie op een:

  • beknopte,
  • transparante,
  • begrijpelijke en
  • gemakkelijk toegankelijke manier moet worden gecommuniceerd.

Hieronder zullen deze belangrijke parameters voor privacyverklaringen worden besproken, waarbij tevens best practices worden aanbevolen. De meeste aanbevelingen kunnen ook worden toegepast op de andere criteria.

Beknopt 

Een onderzoek van NordVPN toont aan dat het een persoon 10 uur zou kosten om de privacybeleidsdocumenten van de 20 meest bezochte websites in het VK te lezen. Een gemiddeld beleidsdocument zou dus 32 minuten in beslag nemen om te lezen. Dit is natuurlijk aanzienlijk lang en in strijd met de eis van beknoptheid. Uitgebreide privacyverklaringen veroorzaken informatieoverbelasting. Hoe kan dit worden verbeterd?

1. Gelaagdheid

Niet alle informatie is relevant en mensen die een privacyverklaring lezen, zijn vaak op zoek naar specifieke informatie (zoals contactgegevens, verwerkingsdoeleinden). Het is daarom een goed idee om uw privacyverklaring in lagen op te bouwen. De betrokkenen die de privacyverklaring lezen, kunnen vervolgens op de titel klikken die overeenkomt met hun vragen. Een voorbeeld:

Example of layering in a privacy notice

Gelaagd privacyverklaring van Delhaize, optie 3 open

2. Verschillende uitvoeringen

Sommige bedrijven hebben nogal complexe privacyverklaringen omdat ze verschillende diensten aanbieden aan een breed scala van mensen (B2B, B2C, sollicitaties, etc.). Een good practice om de lengte van de privacyverklaring te verkorten, is om een beknopte versie te maken die de meest gestelde vragen van de betrokkenen behandelt. In de beknopte versie kan een duidelijk zichtbare link worden opgenomen naar de uitgebreide versie, voor degenen die interesse hebben in meer gedetailleerde informatie.

Let op, de beknopte versie moet nog steeds alle verplichte informatie bevatten.

Transparantie 

Informatie met betrekking tot de verwerking van persoonsgegevens moet duidelijk onderscheiden zijn van andere informatie op uw website. Transparantie draait om openheid en eerlijkheid over uw intenties en verwerkingsdoeleinden.

1. Bijgewerkte versies

Vaak vermeldt de privacyverklaring bovenaan de pagina ‘laatst bijgewerkt op een bepaalde datum’. Dit heeft echter geen toegevoegde waarde voor betrokkenen, omdat het vaak onmogelijk is om te weten wat er is bijgewerkt.

Daarom wordt aanbevolen om ten minste uw huidige klanten op de hoogte te stellen van eventuele wijzigingen in uw privacyverklaring, bijvoorbeeld per e-mail, waarin duidelijk wordt uitgelegd wat er verandert en waarom. Een andere mogelijkheid is het aanbieden van een versie waarin wijzigingen duidelijk zijn gemarkeerd met een andere kleur.

2. Vermijd onduidelijke woorden 

Woorden als kan, kunnen, mogelijk, etc. dragen niet bij aan een transparante privacyverklaring. In plaats daarvan creëren deze termen een onzekere situatie voor de lezer, waardoor zij zich afvragen of hun persoonsgegevens daadwerkelijk worden verwerkt voor het gespecificeerde doel.

3. Dashboard 

Een dashboard biedt een voorkeursbeheertool, waarmee betrokkenen kunnen beheren wat er met hun persoonlijke gegevens gebeurt op één plek. Bovendien biedt het flexibiliteit voor individuen om toestemming te verlenen of in te trekken naarmate de verwerking evolueert of hun voorkeuren veranderen.

Begrijpelijkheid 

Het criterium van begrijpelijkheid heeft betrekking op het vermogen van de gemiddelde klant om een privacyverklaring te begrijpen. Dit hangt samen met een andere vereiste die het gebruik van duidelijke en eenvoudige taal verplicht stelt. Bepaal uw beoogde publiek (professionals, kinderen, enz.) en pas uw schrijven aan aan hun begripsniveau.

1. Gebruik eenvoudige zinnen

Weersta de drang om overbodige informatie in één zin te proppen. Probeer in plaats daarvan in elke zin één enkel kernidee of stukje informatie over te brengen.

Vermijd het overweldigen van lezers met een overvloed aan juridisch of technisch jargon. Geef in plaats daarvan complexe termen weer in alledaagse taal of voorzie duidelijke definities die het publiek gemakkelijk kan begrijpen.

Kortom, hou het simpel.

Makkelijk bereikbaar 

Elke privacyverklaring moet gemakkelijk toegankelijk zijn. Dit betekent dat je het niet kunt verbergen in de Algemene Voorwaarden of ergens anders. Zorg ervoor dat uw privacyverklaring duidelijk zichtbaar is onderaan/bovenaan uw webpagina en link ernaar wanneer klanten een account aanmaken.

1. Meerdere toegangspunten

Het vinden van de privacyverklaring mag niet afhangen van het bezoeken van één specifieke locatie op uw webpagina. Verwijs er in plaats daarvan naar bij meerdere gelegenheden, zoals bij het aanmelden voor een account, prominent op je webpagina, verwijzend naar het privacybeleid in andere documenten, en voorzie een link ernaar wanneer klanten een account aanmaken.

2. Just-in-time 

Een just-in-time-kennisgeving is een kort bericht dat personen informeert over hoe de door hen verstrekte informatie zal worden gebruikt, en verschijnt op het moment dat ze de gegevens delen. Deze kennisgevingen zijn vooral nuttig wanneer mensen persoonlijke informatie verstrekken tijdens verschillende interacties, zoals op een website of bij het invullen van een formulier, omdat ze de implicaties mogelijk niet volledig overwegen. Just-in-time-kennisgevingen bieden relevante privacy-informatie precies wanneer dat nodig is en kunnen zelfs nog effectiever zijn wanneer ze worden gebruikt naast andere methoden die gedetailleerde informatie bieden voor degenen die dat willen.

3. Mobiele apparaten

Mobiele apparaten, zoals smartphones en tablets, staan voor uitdagingen bij het leveren van privacy-informatie, vooral vanwege hun kleine schermen. Om duidelijkheid en leesbaarheid te garanderen, moet informatie op deze apparaten net zo gemakkelijk toegankelijk zijn als op traditionele computerschermen zonder dat er ingezoomd hoeft te worden.

Conclusie

De overgang van een gemiddelde naar een uitstekende privacyverklaring kan de transparantie en betrouwbaarheid van uw bedrijf vergroten, twee zeer belangrijke verplichtingen in het huidige digitale tijdperk. In deze blogpost hebben we ons gericht op een paar belangrijke punten die vaak over het hoofd worden gezien bij het opstellen van uw privacyverklaring. Door deze maatregelen te implementeren, krijgt uw bedrijf een voorsprong op concurrenten en groeit het vertrouwen van de klant. Vergeet niet dat uw privacyverklaring niet alleen een juridisch document is, maar ook functioneert als een communicatiebrug tussen u en uw klanten.
Door deze richtlijnen in de praktijk te brengen, kunt u een belangrijke stap zetten in de richting van een transparantere en privacy-respecterende toekomst.

Picture of CRANIUM Employees

Hi! Hoe kunnen wij jou helpen?

Nood aan interne privacy hulp of een externe DPO? Contacteer ons en we zoeken samen naar de perfecte oplossing voor jou.





    For urgent matters, you can contact us via 02 310 39 63.