In een tijdperk waarin data een steeds grotere rol speelt, is het hebben van een privacy beleid van essentieel belang. Indien u niet beschikt over een correct privacy beleid, kan dit grote gevolgen hebben. In de praktijk lijken ondernemers een privacy beleid echter vaak te beschouwen als een standaarddocument dat gemakkelijk kan worden gekopieerd en geplakt. Dit is een misvatting en kan dus grote risico’s met zich meebrengen.
Een privacy beleid zal namelijk niet voor iedere onderneming of organisatie er hetzelfde uitzien. Er zijn immers verschillende rollen die een onderneming of organisatie ten aanzien van persoonsgegevens kan innemen. Een privacy beleid is dan ook een gedetailleerde weergave van hoe uw onderneming of organisatie omgaat met de naleving van de Algemene Verordening Gegevensbescherming (AVG). In deze blog zullen een aantal belangrijke aspecten voor het opstellen van een waterdicht privacy beleid worden uitgelicht
Persoonsgegevens
Iedere organisatie dient op grond van de AVG transparant te zijn over de manier waarop zij persoonsgegevens verwerkt. Onder de definitie van ‘persoonsgegevens’ valt:
“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”
Naast dat het privacy beleid een juridische verplichting betreft, draagt het ook bij aan het opbouwen van vertrouwen bij uw klanten of gebruikers. Mensen vinden het vaak prettig om te weten wat er met hun persoonlijke gegevens gebeurt en wat hun precieze rechten zijn. Het is dan ook van belang dat onder andere de volgende vragen in een privacy beleid beantwoord worden:
- Welke gegevens verzamel je?
- Voor welke doeleinden gebruik je die gegevens?
- Op basis van welke grondslag gebeurt dat?
- Hoe lang bewaar je de gegevens?
- Hoe kunnen betrokkenen hun rechten uitoefenen?
Belangrijkste punten voor in een privacy beleid
Op grond van artikel 13 en 14 van de AVG zal een privacy beleid in ieder geval de volgende zaken moeten bevatten:
- Identiteit en contactgegevens van de verwerkingsverantwoordelijke
Het moet duidelijk zijn wie de verantwoordelijke partij is voor de gegevensverwerking en hoe men in contact kan komen. - Doeleinden en rechtsgrond(en) van de verwerking
Het doel en de rechtsgrond van de verwerking moet helder worden aangegeven. - Categorieën van persoonsgegevens
Er moet worden aangegeven welke categorie persoonsgegevens er worden verwerkt, denk bijvoorbeeld aan NAW-gegevens, e-mailadressen of gevoelige data zoals medische gegevens (waarvoor extra eisen gelden). - Ontvangers of categorieën van ontvangers van de gegevens
Er dient transparant te worden vermeld met welke derden de persoonsgegevens worden gedeeld. - Bewaartermijnen
Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. - Rechten van betrokkenen
Het moet voor betrokkenen duidelijk zijn wat hun rechten zijn ten aanzien van de verwerking van hun persoonsgegevens, zoals onder andere het recht op inzage, rectificatie, gegevenswissing en het recht om bezwaar te maken. - Eventuele doorgifte buiten de EU
Als gegevens buiten de Europese Economische Ruimte worden verwerkt, moet worden toegelicht welke waarborgen daarbij gelden. - Beveiligingsmaatregelen
Er dient te worden toegelicht op welke wijze de persoonsgegevens worden beveiligd en wat voor soort maatregelen daartoe worden genomen.
Gevolgen van het ontbreken of niet naleven van een privacy beleid
Het hebben van een correct en up-to-date privacy beleid is geen vrijblijvende aangelegenheid. Het niet voldoen aan de AVG-verplichtingen kan ernstige consequenties hebben voor uw onderneming. De Autoriteit Persoonsgegevens (AP) heeft de bevoegdheid om op te treden en kan bij overtredingen de volgende maatregelen opleggen:
- Waarschuwing of berisping: bij een eerste, lichte overtreding kan de AP een officiële waarschuwing geven.
- Boetes: de AP kan aanzienlijke boetes opleggen, die kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet van de onderneming, afhankelijk van welk bedrag hoger is. Dit geldt met name voor ernstige inbreuken.
- Schadevergoeding: betrokkenen wiens rechten zijn geschonden, kunnen een schadevergoeding eisen van de onderneming.
- Reputatieschade: een datalek of een boete van de AP kan het vertrouwen van klanten en gebruikers ernstig schaden, wat op de lange termijn nog grotere gevolgen kan hebben.
Het is dan ook van cruciaal belang om niet alleen een privacy beleid te hebben, maar dit ook consistent te hanteren binnen uw organisatie en periodiek te controleren en te actualiseren. Het privacy recht is constant in beweging: het betreft wetgeving die voortdurende aandacht en aanpassing vereist.
Bij Quest Advocaten helpen wij regelmatig cliënten bij het opstellen, controleren of actualiseren van een privacy beleid. Of het nu gaat om een nieuwe onderneming, een data gedreven organisatie of een dienstverlener met internationale klanten: wij zorgen dat uw documenten aan de wet voldoen én uw risico’s worden beperkt.
Wil je zeker weten dat jouw privacy beleid aan alle eisen voldoet? Neem gerust contact met ons op — wij denken graag met u mee. U kunt gemakkelijk contact opnemen met een van onze gespecialiseerde advocaten binnen dit rechtsgebied voor een vrijblijvend advies.
