Hoe schrijf je een goede privacyverklaring?


Een privacyverklaring. Jawel, dat document dat je doet afvragen wiens privacy er eigenlijk toe doet. Niet iedereen lijkt te begrijpen wat het echt is en wie denkt dat het een papiertje voor de vorm is komt bedrogen uit. Je moet bezoekers namelijk echt adequaat informeren; je informatie moet zowel volledig als begrijpelijk zijn. Dat kan soms slikken zijn. Maar wees gerust, of je nu dacht het zelf wel op te knappen of er te laat achter bent gekomen dat Fiverr niet de beste juristen levert, met deze tips kom je er wel doorheen.


Als eerste de vraag waarom een privacyverklaring eigenlijk nodig is. Kortgezegd bepaalt de AVG dat wanneer je gegevens van personen (betrokkenen) gaat verzamelen of gebruiken je ze daarover moet informeren. Hoofdregel is dat je dat vooraf doet, tenzij het echt niet anders kan. Omdat iedere gebruiker persoonlijk informeren niet doenlijk is kiezen de meesten voor een privacyverklaring om aan die informatieplicht te voldoen. Maar wat moet daar dan in staan om mensen rechtsgeldig te informeren?


De basisvereisten


Omwille van het overzicht hier eerst nog kort een herhaling van de basisvereisten. Omdat deze blogpost echter niet bedoeld is als instructie daarvoor zal dit beperkt blijven. Mocht je basis niet op orde zijn dan is het dus zaak dat als eerste te regelen. Kom je er echt niet uit of is je situatie complex omdat je bijvoorbeeld gegevens buiten de EU parkeert? Schakel dan liever een gekwalificeerd jurist in of neem gerust eens contact op.

  • Je bedrijfsgegevens
Vermeld als eerste de bedrijfsgegevens van de onderneming die de gegevens verwerkt. Inclusief de contactgegevens van een eventuele FG. Vat dit stuk niet te droog op, naast je statutaire informatie mag er best een paragraaf bij over wat je als bedrijf precies doet. Dat is dan meteen handige context voor het begrijpen van je verwerkingen.

  • Een overzicht van je verwerkingen
Het volgende kun je het beste gewoon baseren op je verwerkingsregister. Als je dat niet hebt kun je daar misschien beter beginnen, des te meer wanneer de inhoud daarvan niet voldoende begrijpelijk is om hier te hergebruiken.

Beschrijf kort en bondig ieder specifiek doel waarvoor je gegevens verwerkt. Je hoeft niet per se iedere verwerking los te beschrijven, het gaat erom dat je mensen begrijpelijk informeert. Het doet er dus niet toe of je gegevens gebruikt om mensen te bellen of te mailen; als iemand zelf die gegevens verstrekt is het voldoende om te vermelden dat je ze gebruikt om contact op te nemen.

Vermeld daarnaast per doel het volgende:
  1. Welke soorten gegevens je daarvoor gebruikt;
  2. Welke grondslag je hebt voor de verwerking;
  3. Hoe lang je de gegevens gaat bewaren;
  4. Met welke derden je de gegevens mogelijk gaat delen;
  5. Of de gegevens de EU verlaten en met welke waarborgen;
  6. Het gebruik van geautomatiseerde besluitvorming en indien bekend de gevolgen en logica daarvan.
Is iets van toepassing op al je verwerkingen of doelen? Dan hoef je het natuurlijk niet voor ieder doel apart te noemen.

  • Een opsomming van de rechten van je gebruikers
Geef een korte opsomming van de relevante rechten die jouw gebruikers hebben met betrekking tot hun gegevens. Vermeld daarbij duidelijk de voorwaarden en instructies voor het uitoefenen van ieder recht zodat je geen vreemde of onnodige verzoeken krijgt. Controleer bovendien goed welke rechten relevant zijn, zo hoef je natuurlijk niet te wijzen op het recht om toestemming in te trekken als je daar toch niet om vraagt.


Optioneel


  • Definities
Je kunt gerust de begrippen uit de AVG gaan uitleggen, zoals wat een persoonsgegeven of een verwerking is. Dat kan soms handig zijn, maar je basis moet eigenlijk zodanig op orde zijn dat je geen terminologie hoeft te gebruiken om duidelijk te zijn. Probeer dus in plaats van 'persoonsgegevens' gewoon te vermelden welke gegevens je gebruikt en waarvoor, dat is voor iedereen een stuk eenvoudiger.

  • Allerhande boilerplate
Je kent het wel, de paragrafen die iedereen overneemt maar inhoudelijk weinig toevoegen. Voorbeelden zijn de toepasselijkheid van de privacyverklaring. Je kunt zoiets apart opnemen, maar als dat niet duidelijk is geworden uit je identiteit en de omschrijving van je verwerkingen is het eigenlijk al ergens anders misgegaan. Vermeld en kopieer het dus gerust als dat professioneel oogt, maar ook hier geldt dat het geen vervanging is voor een deugdelijke basis.

  • De genomen beveiligingsmaatregelen
Je bent niet verplicht ze te vermelden, maar het klinkt natuurlijk wel zo geruststellend. Dan weet bovendien tenminste iemand van al die certificaten en beveiligingsmaatregelen waar je in hebt moeten investeren. Probeer alleen niet teveel details weg te geven, je wilt het potentiële hackers niet per ongeluk makkelijker maken.



Schrijftips


Nu we weten wat er minimaal in moet staan zijn hier nog wat tips voor je aan de slag gaat.

  • Hanteer begrijpelijke taal
Ja, dit is een echt vereiste van de AVG. Het hoeft niet allemaal in Jip en Janneke taal, maar met formeel of oudbollig taalgebruik kom je er tegenwoordig niet meer. Nogmaals, je moet mensen echt adequaat informeren. Duidelijkheid is daar een onlosmakelijk deel van en als men niet begrijpt wat je hebt geschreven zijn je bezoekers dus niet voldoende geïnformeerd. Een goede richtlijn is taalniveau A2 of B1 zoals gehanteerd door de overheid.

  • Laat je inspireren
Nee, echt. Je schrijft geen roman en niemand komt punten aftrekken voor plagiaat, dus hier is het liever goed gejat dan slecht bedacht. Let wel dat je net als met echt huiswerk niet blind moet vertrouwen, je weet immers niet zeker of de ander het wel juist heeft. Lang niet ieder bedrijf is bovendien hetzelfde. Vergeet ook niet het in eigen woorden over te doen, maar zolang je daarbij niet te creatief te werk gaat (het blijft een juridisch document) is er niets mis mee zo je writersblock te doorbreken.

  • Loop alles nog een rustig na
Gehaaste spoed is zelden goed, zeker bij juridische documenten. Controleer nog eens rustig of alles er ook echt instaat. Is aan alle formele eisen voldaan? Staat alles volledig en begrijpelijk beschreven? Vraag jezelf ook af of alles gedekt is, neem je twijfel serieus. Neem bovendien de tijd die nodig is en laat je door niemand haasten. Als ze denken dat het sneller kan dan hadden ze tenslotte maar een echte jurist moeten inhuren.

  • Vraag geen toestemming
Niet alleen hoef je geen toestemming te vragen voor je privacyverklaring, maar je kunt op die manier zelfs überhaupt geen geldige toestemming verkrijgen. Dat is onder andere lang niet specifiek genoeg. Doe dat dus vooral niet. Wijs op je privacyverklaring, maar blijf ver bij checkboxes of popups vandaan. Dat is wel zo klantvriendelijk.



Heb je al deze tips doorlopen en kom je er nog steeds niet uit? Misschien is een jurist dan toch meer iets voor jou. Doe jezelf wel een plezier en schakel direct een gekwalificeerd professional in of neem gerust eens contact op.