Checklist: is jouw privacyverklaring AVG-ready?

2018-01-01T00:00:00Z

2023-10-03T16:28:58Z

Speak

Ieder bedrijf, website of webshop, is verplicht om een privacyverklaring te hebben: een verklaring waarin je bezoekers informeert over hoe en waarom je als organisatie gegevens verzamelt en verwerkt. Neem onderstaande checklist door, ga na wat de onderdelen zijn, en maak jouw privacyverklaring AVG-ready! Belangrijk: bepaalde onderdelen moeten per website of webshop bekeken worden. Het hangt er namelijk van af hoe je op dit moment de persoonsgegevens gebruikt.

Aandachtspunten privacyverklaring:

Transparant, beknopt, begrijpelijk en eenvoudig
De privacyverklaring moet op een transparante, beknopte en begrijpelijke vorm en eenvoudige taal geschreven zijn. De ‘eenvoudige taal’ hangt af van je doelgroep. Van welke groep personen verzamel je de persoonsgegevens? Wij adviseren organisaties om in taalniveau B1 te schrijven. Lukt je dat, dan begrijpt 80% procent van de Nederlandse bevolking je teksten zonder moeite!
Eenvoudig te vinden
De privacyverklaring moet heel eenvoudig te vinden zijn op je website. Geef de verklaring daarom een geheel eigen pagina, een link in de footer en een verwijzing op elke plek waar je persoonsgegevens verzamelt.
Nummeren
Vergeet ook niet de privacyverklaring te dateren en een versienummer te geven. Dit soort teksten zijn immers levend. Er kunnen wijzigingen komen in de aard van de gegevens die je verwerkt of in de genomen beschermingsmaatregelen. Je tekst moet correcte en actuele informatie geven en zal dus regelmatig wijzigen.
Identiteit
Je moet je bedrijfsnaam vermelden, inclusief de adresgegevens en een contactadres voor privacy gerelateerde vragen.
Inventarisatie persoonsgegevens
Tijd om in kaart te brengen: welke persoonsgegevens je verzamelt, hoe je ze verzamelt, waarom je deze gegevens verzamelt, tot wanneer je de gegevens bewaart en waarom, en met wie je deze gegevens deelt. Stel bij voorkeur een lijst op. Je mag voortaan alleen maar gegevens verzamelen die noodzakelijk zijn voor de dienst die je aanbiedt. Dus wel NAW-gegevens ten behoeve van bezorging, maar niet telefoonnummers ten behoeve van inschrijving. Belangrijk: denk aan het opslaan, analyseren, verstrekken en anonimiseren van de persoonsgegevens.
Doeleinden
Beschrijf alle doeleinden waarvoor je organisatie persoonsgegevens verzamelt en verwerkt. Dat doel moet rechtmatig zijn en specifiek worden omschreven. Belangrijk: je mag niet meer persoonsgegevens vragen dan nodig zijn!
Rechtsgronden
Ga bij alle doeleinden na welke rechtsgronden je daarbij kunt vermelden: voor de uitvoering van de overeenkomst (1), om aan een wettelijke verplichting te voldoen (2) vanwege een gerechtvaardigd belang (3) of na toestemming van de klant (4).
Gevolgen niet verstrekken
ls de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde? Dan moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
Duur van opslag
Hoelang ben je van plan de persoonsgegevens te bewaren? In principe mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Beschrijf daarom in je privacyverklaring duidelijk hoelang je de persoonsgegevens bewaart en waarom. Daarbij: hoe je de gegevens automatisch gaat verwijderen (ook uit de back-ups) en hoe eventuele derde partijen deze gegevens gaan verwijderen. Belangrijk is dus bepaal, documenteer en controleer je bewaartermijn inclusief onderbouwde motivatie.
Recht op inzage, rectificatie of wissen
Personen hebben het recht op inzage, rectificatie of wissen van de persoonsgegevens. Vermeld in je privacyverklaring hoe personen dat verzoek kunnen indienen door bijvoorbeeld een e-mailadres of telefoonnummer te benoemen. Vermeld daarbij ook dat betrokkene het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Ontvangers van de persoonsgegevens
Aan welke partijen verstrekt je bedrijf persoonsgegevens om diensten uit te voeren? Denk bijvoorbeeld aan betaaldiensten etc. Soms is het genoeg om alleen de categorie te noemen, maar vaak zal je de specifieke partij moeten noemen.
Overeenkomsten
Heeft je bedrijf overeenkomsten met deze partijen waarin al rekening wordt gehouden met de bescherming van persoonsgegevens? Belangrijk om na te gaan of die overeenkomsten AVG-proof zijn. Maak daarbij een overzicht van al je inkomende en uitgaande gegevensstromen.
‘Derde land’
Worden persoonsgegevens verstrekt aan een ‘derde land’ bijvoorbeeld omdat servers in een ander land staan? Dan moet je dit duidelijk vermelden. Als gegevens worden verwerkt buiten de Europese Unie gelden speciale, strengere regels. Let hierop!
Geautomatiseerde besluitvorming
Is er een sprake van geautomatiseerde besluitvorming of profiling? Dan moet je dit in je privacyverklaring vermelden waarom dit gedaan wordt en wat de verwachte gevolgen zijn.
Indien aanwezig, gegevens van functionaris gegevensbescherming
Vermeld, indien aanwezig, de contactgegevens van de Functionaris Gegevensbescherming in je privacyverklaring. Voor de meeste bedrijven is het aanstellen van een Functionaris Gegevensbescherming niet verplicht. Bekijk hier of je een Functionaris voor de Gegevensbescherming nodig hebt.
Server
Bewaart jouw bedrijf de persoonsgegevens op een eigen server, een server bij je ICT-leverancier of elders? Indien elders, waar vindt de opslag van deze gegevens plaats? Vermeld waar de verzamelde persoonsgegevens worden bewaard.

Home/
Nieuws/
Checklist: is jouw privacyverklaring AVG-ready?

Checklist: is jouw privacyverklaring AVG-ready?

Aandachtspunten privacyverklaring:

Transparant, beknopt, begrijpelijk en eenvoudig
De privacyverklaring moet op een transparante, beknopte en begrijpelijke vorm en eenvoudige taal geschreven zijn. De ‘eenvoudige taal’ hangt af van je doelgroep. Van welke groep personen verzamel je de persoonsgegevens? Wij adviseren organisaties om in taalniveau B1 te schrijven. Lukt je dat, dan begrijpt 80% procent van de Nederlandse bevolking je teksten zonder moeite!
Eenvoudig te vinden
De privacyverklaring moet heel eenvoudig te vinden zijn op je website. Geef de verklaring daarom een geheel eigen pagina, een link in de footer en een verwijzing op elke plek waar je persoonsgegevens verzamelt.
Nummeren
Vergeet ook niet de privacyverklaring te dateren en een versienummer te geven. Dit soort teksten zijn immers levend. Er kunnen wijzigingen komen in de aard van de gegevens die je verwerkt of in de genomen beschermingsmaatregelen. Je tekst moet correcte en actuele informatie geven en zal dus regelmatig wijzigen.
Identiteit
Je moet je bedrijfsnaam vermelden, inclusief de adresgegevens en een contactadres voor privacy gerelateerde vragen.
Inventarisatie persoonsgegevens
Tijd om in kaart te brengen: welke persoonsgegevens je verzamelt, hoe je ze verzamelt, waarom je deze gegevens verzamelt, tot wanneer je de gegevens bewaart en waarom, en met wie je deze gegevens deelt. Stel bij voorkeur een lijst op. Je mag voortaan alleen maar gegevens verzamelen die noodzakelijk zijn voor de dienst die je aanbiedt. Dus wel NAW-gegevens ten behoeve van bezorging, maar niet telefoonnummers ten behoeve van inschrijving. Belangrijk: denk aan het opslaan, analyseren, verstrekken en anonimiseren van de persoonsgegevens.
Doeleinden
Beschrijf alle doeleinden waarvoor je organisatie persoonsgegevens verzamelt en verwerkt. Dat doel moet rechtmatig zijn en specifiek worden omschreven. Belangrijk: je mag niet meer persoonsgegevens vragen dan nodig zijn!
Rechtsgronden
Ga bij alle doeleinden na welke rechtsgronden je daarbij kunt vermelden: voor de uitvoering van de overeenkomst (1), om aan een wettelijke verplichting te voldoen (2) vanwege een gerechtvaardigd belang (3) of na toestemming van de klant (4).
Gevolgen niet verstrekken
ls de verwerking van de persoonsgegevens een wettelijke of contractuele verplichting of noodzakelijke voorwaarde? Dan moet je ook de gevolgen van het niet verstrekken van de persoonsgegevens vermelden.
Duur van opslag
Hoelang ben je van plan de persoonsgegevens te bewaren? In principe mag je persoonsgegevens niet langer bewaren dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Beschrijf daarom in je privacyverklaring duidelijk hoelang je de persoonsgegevens bewaart en waarom. Daarbij: hoe je de gegevens automatisch gaat verwijderen (ook uit de back-ups) en hoe eventuele derde partijen deze gegevens gaan verwijderen. Belangrijk is dus bepaal, documenteer en controleer je bewaartermijn inclusief onderbouwde motivatie.
Recht op inzage, rectificatie of wissen
Personen hebben het recht op inzage, rectificatie of wissen van de persoonsgegevens. Vermeld in je privacyverklaring hoe personen dat verzoek kunnen indienen door bijvoorbeeld een e-mailadres of telefoonnummer te benoemen. Vermeld daarbij ook dat betrokkene het recht hebben om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Ontvangers van de persoonsgegevens
Aan welke partijen verstrekt je bedrijf persoonsgegevens om diensten uit te voeren? Denk bijvoorbeeld aan betaaldiensten etc. Soms is het genoeg om alleen de categorie te noemen, maar vaak zal je de specifieke partij moeten noemen.
Overeenkomsten
Heeft je bedrijf overeenkomsten met deze partijen waarin al rekening wordt gehouden met de bescherming van persoonsgegevens? Belangrijk om na te gaan of die overeenkomsten AVG-proof zijn. Maak daarbij een overzicht van al je inkomende en uitgaande gegevensstromen.
‘Derde land’
Worden persoonsgegevens verstrekt aan een ‘derde land’ bijvoorbeeld omdat servers in een ander land staan? Dan moet je dit duidelijk vermelden. Als gegevens worden verwerkt buiten de Europese Unie gelden speciale, strengere regels. Let hierop!
Geautomatiseerde besluitvorming
Is er een sprake van geautomatiseerde besluitvorming of profiling? Dan moet je dit in je privacyverklaring vermelden waarom dit gedaan wordt en wat de verwachte gevolgen zijn.
Indien aanwezig, gegevens van functionaris gegevensbescherming
Vermeld, indien aanwezig, de contactgegevens van de Functionaris Gegevensbescherming in je privacyverklaring. Voor de meeste bedrijven is het aanstellen van een Functionaris Gegevensbescherming niet verplicht. Bekijk hier of je een Functionaris voor de Gegevensbescherming nodig hebt.
Server
Bewaart jouw bedrijf de persoonsgegevens op een eigen server, een server bij je ICT-leverancier of elders? Indien elders, waar vindt de opslag van deze gegevens plaats? Vermeld waar de verzamelde persoonsgegevens worden bewaard.