In deze blogpost zullen we dieper ingaan op een ‘goede’ privacyverklaring, waarbij we inzichten, best practices en tips bieden om je te helpen de beste privacyverklaring op te stellen.
Privacyverklaring versus privacybeleid: wat is het verschil?
Allereerst moet een onderscheid worden gemaakt tussen een privacyverklaring en een privacybeleid. Een privacyverklaring is een extern document dat wordt gebruikt om betrokkenen te informeren over de verwerking van hun gegevens. Een privacybeleid is een intern document voor je medewerkers over hoe ze persoonsgegevens moeten verwerken. Deze blogpost heeft betrekking op de externe privacyverklaring.
Wat moet je toevoegen aan je privacyverklaring?
De Algemene Verordering Persoonsgegevens (AVG, GDPR in het Engels) bepaalt in artikelen 12 tot en met 14 dat verwerkingsverantwoordelijken passende maatregelen moeten nemen om betrokkenen te informeren over de verwerking van hun persoonsgegevens, en zo ontstond de privacyverklaring.
De structuur is eenvoudig, de volgende informatie moet worden opgenomen:
- Identiteit van de verwerkingsverantwoordelijke (of diens vertegenwoordiger) en zijn contactgegevens;
- Contactgegevens van de Functionaris voor Gegevensbescherming (DPO), indien van toepassing;
- De verwerkingsdoeleinden gekoppeld aan de wettelijke grondslag voor de verwerking;
- Indien gerechtvaardigd belang wordt gebruikt als wettelijke grondslag, dient de verwerkingsverantwoordelijke ook zijn gerechtvaardigd belang toe te lichten
- (Categorieën) van ontvangers van de persoonsgegevens;
- Internationale doorgifte van gegevens en de geïmplementeerde waarborgen;
- Bewaartermijnen;
- Alle rechten van betrokkenen, inclusief een link naar de toezichthoudende autoriteit om een klacht in te dienen;
- Het bestaan van geautomatiseerde besluitvorming en de logica ervan, evenals de impact op de betrokkene.
Wanneer de persoonsgegevens niet rechtstreeks van de betrokkene worden verkregen, moet ook volgende informatie binnen een redelijk termijn worden verstrekt, bijvoorbeeld per e-mail:
- Categorieën van persoonsgegevens in kwestie;
- Bron van de persoonsgegevens;
- Bekendmaking aan andere ontvangers.
Best practices bij het opstellen van een privacyverklaring
Het beheer van een privacyverklaring kan op verschillende manieren worden uitgevoerd en elke situatie vereist een andere aanpak. Zo zal bijvoorbeeld een bedrijf dat voornamelijk met gegevens van kinderen werkt, een aanzienlijk andere implementatie van zijn privacyverklaring nodig hebben dan een bedrijf dat zich bezighoudt met de werving van juridische professionals.
De AVG schrijft voor dat de vereiste informatie op een:
- beknopte,
- transparante,
- begrijpelijke en
- gemakkelijk toegankelijke manier moet worden gecommuniceerd.
Hieronder zullen deze belangrijke parameters voor privacyverklaringen worden besproken, waarbij tevens best practices worden aanbevolen. De meeste aanbevelingen kunnen ook worden toegepast op de andere criteria.
Beknopt
Een onderzoek van NordVPN toont aan dat het een persoon 10 uur zou kosten om de privacybeleidsdocumenten van de 20 meest bezochte websites in het VK te lezen. Een gemiddeld beleidsdocument zou dus 32 minuten in beslag nemen om te lezen. Dit is natuurlijk aanzienlijk lang en in strijd met de eis van beknoptheid. Uitgebreide privacyverklaringen veroorzaken informatieoverbelasting. Hoe kan dit worden verbeterd?
1. Gelaagdheid
Niet alle informatie is relevant en mensen die een privacyverklaring lezen, zijn vaak op zoek naar specifieke informatie (zoals contactgegevens, verwerkingsdoeleinden). Het is daarom een goed idee om de privacyverklaring in lagen op te bouwen. De betrokkenen die de privacyverklaring lezen, kunnen vervolgens op de titel klikken die overeenkomt met hun vragen. Een voorbeeld:
Delhaize’s layered privacy policy, option 3 open
2. Verschillende versies
Sommige bedrijven hebben nogal complexe privacyverklaringen omdat ze verschillende diensten aanbieden aan een breed scala van mensen (B2B, B2C, sollicitaties, etc.). Een good practice om de lengte van de privacyverklaring te verkorten, is om een beknopte versie te maken die de meest gestelde vragen van de betrokkenen behandelt. In de beknopte versie kan een duidelijk zichtbare link worden opgenomen naar de uitgebreide versie, voor degenen die interesse hebben in meer gedetailleerde informatie.
Let op, de beknopte versie moet nog steeds alle verplichte informatie bevatten.
Transparantie
Informatie met betrekking tot de verwerking van persoonsgegevens moet duidelijk onderscheiden zijn van andere informatie op je website. Transparantie draait om openheid en eerlijkheid over je intenties en verwerkingsdoeleinden.
1. Bijgewerkte versies
Vaak vermeldt de privacyverklaring bovenaan de pagina ‘laatst bijgewerkt op een bepaalde datum’. Dit heeft echter geen toegevoegde waarde voor betrokkenen, omdat het vaak onmogelijk is om te weten wat er is bijgewerkt.
Daarom wordt aanbevolen om ten minste je huidige klanten op de hoogte te stellen van eventuele wijzigingen in de privacyverklaring, bijvoorbeeld per e-mail, waarin duidelijk wordt uitgelegd wat er verandert en waarom. Een andere mogelijkheid is het aanbieden van een versie waarin wijzigingen duidelijk zijn gemarkeerd met een andere kleur.
2. Vermijd onduidelijke woorden
Woorden zoals “kan, kunnen, mogelijk, etc.” dragen niet bij aan een transparante privacyverklaring. In plaats daarvan creëren deze termen een onzekere situatie voor de lezer, waardoor zij zich afvragen of hun persoonsgegevens daadwerkelijk worden verwerkt voor het gespecificeerde doel.
3. Dashboard
Een dashboard biedt een voorkeursbeheertool, waarmee betrokkenen kunnen beheren wat er met hun persoonlijke gegevens gebeurt op één plek. Bovendien biedt het flexibiliteit voor individuen om toestemming te verlenen of in te trekken naarmate de verwerking evolueert of hun voorkeuren veranderen.
Begrijpelijkheid
Het criterium van begrijpelijkheid heeft betrekking op het vermogen van de gemiddelde klant om een privacyverklaring te begrijpen. Dit hangt samen met een andere vereiste die het gebruik van duidelijke en eenvoudige taal verplicht. Bepaal je beoogde publiek (professionals, kinderen, enz.) en pas het schrijven aan aan hun begripsniveau.
1. Gebruik eenvoudige zinnen
Prop overbodige informatie niet in één zin. Probeer in plaats daarvan in elke zin één enkel kernidee of stukje informatie over te brengen. Dit verhoogt de leesbaarheid aanzienlijk.
Vermijd het overweldigen van lezers met een overvloed aan juridisch of technisch jargon. Geef in plaats daarvan complexe termen weer in alledaagse taal of voorzie duidelijke definities die het publiek gemakkelijk kan begrijpen.
Kortom, hou het simpel.
Makkelijk vindbaar
Any privacy notice should be easily accessible. This means you cannot hide it in the Terms & Conditions or some other place. Ensure that your privacy notice is clearly visible at the bottom/top of your webpage and link it when customers are creating an account.
1. Multiple entry points
Elke privacyverklaring moet gemakkelijk toegankelijk zijn. Dit betekent dat je het niet kunt verbergen in de Algemene Voorwaarden of ergens anders. Zorg ervoor dat je privacyverklaring duidelijk zichtbaar is onderaan/bovenaan de website en link ernaar wanneer klanten een account aanmaken.
2. Just in time
Een just-in-time-kennisgeving is een kort bericht dat personen informeert over hoe de door hen verstrekte informatie zal worden gebruikt, en verschijnt op het moment dat ze de gegevens delen. Deze kennisgevingen zijn vooral nuttig wanneer mensen persoonlijke informatie verstrekken tijdens verschillende interacties, zoals op een website of bij het invullen van een formulier, omdat ze de implicaties mogelijk niet volledig overwegen. Just-in-time-kennisgevingen bieden relevante privacy-informatie precies wanneer dat nodig is en kunnen zelfs nog effectiever zijn wanneer ze worden gebruikt naast andere methoden die gedetailleerde informatie bieden voor degenen die dat willen.
3. Vergeet mobile niet!
Mobiele apparaten, zoals smartphones en tablets, staan voor uitdagingen bij het leveren van privacy-informatie, vooral door hun kleine schermen. Om duidelijkheid en leesbaarheid te garanderen, moet informatie op deze apparaten net zo gemakkelijk toegankelijk zijn als op traditionele computerschermen zonder dat er ingezoomd hoeft te worden.
Conclusie
Het verschil tussen een gemiddelde en een uitstekende privacyverklaring kan de transparantie en betrouwbaarheid van je bedrijf vergroten, niet onbelangrijk vandaag de dag. In deze blogpost hebben we ons gericht op een paar belangrijke punten die vaak over het hoofd gezien worden bij het opstellen van de privacyverklaring. Door deze maatregelen te implementeren, krijgt je bedrijf een voorsprong op concurrenten en groeit het vertrouwen van de klant. Vergeet niet dat de privacyverklaring niet alleen een juridisch document is, maar ook functioneert als een communicatiemiddel tussen jouw organisatie en je klanten.