GDPR: is uw privacyverklaring voldoende transparant?

De afgelopen tijd bent u waarschijnlijk overspoeld met e-mail vanuit uw relaties en leveranciers over een aangepaste privacyverklaring. Mogelijk heeft u zelf ook aanpassingen doorgevoerd in uw privacyverklaring. Voldoet uw verklaring aan de vereisten? En heeft u ook andere vormen overwogen buiten een schriftelijke verklaring?

Omdat de GDPR op het punt van transparantie nogal wat vragen oproept, heeft het onafhankelijke Europese advies- en overlegorgaan ‘Artikel 29 Data Protection Working Party’ (WP29), hierover een richtlijn gepubliceerd. Hiermee wordt in heldere taal aangegeven hoe er met transparantie dient te worden omgegaan. 

Belangrijkste vereisten transparantie

De WP29 stelt in haar richtlijn een aantal nadere voorwaarden om aan transparantie te voldoen:

  • U moet ervoor zorgen dat informatie beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk is;
  • Er moet duidelijke en eenvoudige taal worden gebruikt, waarbij lange zinnen en complexe zinsstructuren worden vermeden. U zou tevens concrete informatie moeten gebruiken in plaats van tegenstrijdige termen (zoals ‘mogelijk’, ‘sommige’ en ‘kan’) of technische taal.
  • De vereiste van duidelijke en eenvoudige taal is van bijzonder belang bij het verstrekken van informatie aan kinderen en andere kwetsbare groepen. De gebruikte woordenschat, toon en stijl van de taal moet aansluiten op het niveau van de doelgroep. U dient in uw verklaring dus rekening te houden met uw doelgroep. Indien u zich op meerdere doelgroepen richt, zult u dus meerdere privacy verklaringen moeten hebben;
  • U moet informatie schriftelijk beschikbaar stellen, of langs een elektronische weg indien dit meer geschikt is;
  • U moet informatie kosteloos verstrekken. Het verschaffen van transparantie kan niet afhankelijk worden gesteld van andere financiële transacties.

Privacyverklaring: meerdere opties

De meest gangbare manier om alle informatie over de verwerking van persoonsgegevens aan betrokkenen te verstrekken is in de vorm van een schriftelijke privacyverklaring. In de meeste gevallen wordt deze via de website beschikbaar gesteld. Uit de richtlijn van WP29 blijkt echter dat ook het gebruik van ‘just-in-time’ contextuele pop-upberichten bijvoorbeeld een optie is. Wanneer deze optie is ingeschakeld, wordt de privacyverklaring als een pop-upvenster weergegeven wanneer iemand de betreffende webpagina bezoekt. Hierbij wordt vereist dat dit weergegeven beleid door de bezoeker wordt geaccepteerd, voordat er kan worden doorgegaan met het browsen op de website.

Ook video-, stemmeldingen en cartoons worden – onder bepaalde omstandigheden - als een geschikt middel gezien voor het delen van de privacyverklaring. Dit kan met name een goede optie zijn wanneer de informatie gericht is op kinderen. Door de privacyverklaring in verschillende – creatieve - vormen aan te bieden en hiermee invulling te geven aan transparantie, kunt u zich als onderneming op dit gebied onderscheiden.

Mondelinge toelichting

Op verzoek van de betrokkene dient informatie omtrent privacy ook mondeling (face-to-face of telefonisch) te kunnen worden verstrekt. De verwerkingsverantwoordelijke moet in staat zijn om hiervoor bewijsvoering te leveren. Dit vraagt in dus ook om een aantoonbare registratie, rekening houdend met de privacy van de betrokkene.

Timing updates

Ook de wijze waarop updates voor privacy verklaringen worden verstrekt, is belangrijk. Wijzigingen moeten volgens de WP29 binnen een geschikte tijdsperiode worden gecommuniceerd aan betrokkenen. Dit maakt het noodzakelijk om versiebeheer op uw privacyverklaring toe te passen, om inzicht te hebben in welke wijzigingen wanneer zijn aangebracht. De WP29 gaat hier niet verder op in. Wij adviseren om een robuuste privacyverklaring op te stellen, waarbij het aantal door te voeren updates beperkt blijft.

Meer informatie

Heeft u vragen m.b.t. transparantie ten aanzien van privacy verklaringen? Neem gerust vrijblijvend contact met mij op!

Meer lezen over GDPR?

Onlangs bracht BDO een magazine uit waarin privacy en de GDPR centraal staan. Met inspirerende verhalen van o.a. C-level bestuurders. Onder andere CIP, Danny Mekić, Simac, ZLM en BKR-commissaris Kees Droppert komen in het magazine aan het woord, waarbij zij hun visie op de GDPR geven. Klik op onderstaande button om het magazine te downloaden.

Download magazine