Hoe maak ik mijn onderneming GDPR-approved in 5 stappen? Stap 4...

Naar aanleiding van de inwerkingtreding van de nieuwe Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation of hierna ook wel “GDPR” genoemd) op 25 mei 2018 beloofden wij u stap voor stap te helpen bij het GDPR-approved maken van uw organisatie.

In onze eerste blog van 12 april 2018 hadden wij het reeds uitgebreid over de eerste stap, namelijk de bewustwording binnen uw organisatie.

In onze tweede blog van 19 april 2018 hadden wij het navolgend over het schematiseren van de verzamelde gegevens en het vervolgens overlopen van een checklist na te gaan in hoeverre uw organisatie op vandaag al GDPR-conform is en waar eventueel nog aangepast moet worden om uw onderneming volledig GDPR-approved te maken.

In onze derde blog van 26 april 2018 hadden wij het dan weer over de aanvullende verplichtingen die bestaan in het kader van de GDPR én voor welke organisaties deze aanvullende verplichtingen in theorie gelden.

Vandaag gaan we het in navolging daarvan hebben over de opmaak van een privacyverklaring.

Wat is een privacyverklaring?

De GDPR verplicht u als organisatie om potentiële klanten en gebeurlijke websitebezoekers te informeren aan de hand van een privacyverklaring. De privacyverklaring is daarbij niet meer en niet minder dan een verklaring uitgaande van uw organisatie rond welke gegevens verzameld worden, met welk doel, welke rechten de mensen hebben edm.

De bedoeling is om de mensen op voorhand te gaan “verwittigen” over de verwerking van persoonsgegevens binnen uw organisatie. Op die manier weet de betrokkene van bij aanvang wat hij op dat punt mag verwachten van uw organisatie en staat het de betrokkene vrij om zich al dan niet tot u te richten. De betrokkene in kwestie hoeft dus niet noodzakelijk akkoord te gaan met uw privacyverklaring.

Transparantie staat daarbij centraal. Opdat transparantie verzekerd wordt is het echter wel van belang dat de privacy verklaring beknopt, gestructureerd, eenvoudig en begrijpelijk is. Laat dat speciale vakjargon dus maar voor wat het is. Hoe simpeler opgesteld, hoe beter…

Bovendien is vereist dat de privacyverklaring gemakkelijk toegankelijk is. Het voorbeeld bij uitstek is dan ook de privacyverklaring terug te vinden op de website van uw organisatie. Om er echter zeker van te zijn dat deze eenvoudig terug te vinden is, doet u er goed aan om op de home pagina hetzij helemaal bovenaan, hetzij helemaal onderaan een duidelijk aangegeven hyperlink naar de privacyverklaring in te (laten) voegen. Het is dus niet de bedoeling om uw privacyverklaring ergens in een hoekje van uw website onder te brengen. Integendeel, vanop de homepagina van uw website zou het mogelijk moeten zijn om in één muisklik naar uw privacyverklaring, algemene voorwaarden, cookieverklaring edm. te gaan.

Voor wie is de privacyverklaring bedoeld?

De GDPR vereist dat een privacyverklaring wordt opgemaakt voor elke (groep van) perso(o)n(en) van wie de gegevens potentieel verwerkt kunnen worden. Dit veronderstelt dus eigenlijk dat u niet alleen een privacyverklaring moet opmaken voor uw klanten en gewone websitebezoekers (die niet noodzakelijk klanten zijn) maar ook voor uw personeel, vrijwilligers, leden, medewerkers edm.

De privacyverklaring moet dus opgesteld worden in functie van de doelgroep en de toepasbaarheid van de privacyverklaring. Het kan dus perfect zijn dat u als organisatie verschillende privacyverklaringen zult moeten opmaken.

Om het voor u evenwel gemakkelijker te maken kan u wel proberen het toepassingsgebied zo ruim mogelijk te houden. Zo kan u de privacyverklaring terug te vinden op de website verruimen zodat zij zowel van toepassing is op gewone websitebezoekers die geen gegevens nalaten, websitebezoekers die hun gegevens nalaten in bijvoorbeeld een contactformulier, maar ook op klanten die los van uw website in contact zijn gekomen met uw organisatie.

Zolang u voor elk van die doelgroepen maar voldoende verduidelijkt welke gegevens verwerkt worden edm. doet zich daar niet meteen een probleem voor. U moet er echter wel mee opletten dat dit geen afbreuk doet aan de vereiste van transparantie. Hoe meer men namelijk in één privacyverklaring wil opnemen, hoe moeilijker leesbaar die privacyverklaring wordt…

Al naargelang de doelgroep moet u bovendien ook goed nadenken over hoe u de privacyverklaring het best kenbaar kan maken aan de relevante personen. U kan immers niet verwachten dat iedereen gewoon een kijkje gaat nemen op uw website.

Wanneer het dus gaat om reeds aangeworven personeelsleden doet u er beter aan om een grote versie van de privacyverklaring uit te hangen in de cafétaria, de kleedkamers edm. Nieuwe personeelsleden kan men dan weer informeren door één en ander te verwerken in de arbeidsreglementen en hier duidelijk naar te verwijzen.

Indien u een zeer grote onderneming hebt kan het ook geen kwaad om aan elk van uw personeelsleden een standaardmail te sturen met daarin de (aangepaste) privacyverklaring, alsook de vermelding waar zij deze steeds lijfelijk en/of virtueel kunnen raadplegen indien gewenst.

Wanneer het gaat om klanten die u gecontacteerd hebben los van de website, doet u er dan weer goed aan om bij de start van de opdracht de privacyverklaring misschien even gezamenlijk te overlopen en kopie van de privacyverklaring te bezorgen aan de klant in kwestie. Minstens dient u uitdrukkelijk te verwijzen naar de plaats waar de klant in kwestie uw privacyverklaring kan raadplegen.

Inhoud van de privacyverklaring

De GDPR noemt diverse zaken op die in uw privacyverklaring opgenomen moeten worden maar voorziet daarbij geen strikte structuur. Er is dus best wel wat variëteit mogelijk.

Bovendien zijn sommige zaken slechts verplicht op te nemen in bepaalde gevallen (bijvoorbeeld: de gegevens van de DPO moeten slechts meegedeeld worden als er een DPO moet worden aangesteld) zodat er ook op dat vlak al wat verschillen kunnen zijn.

Hoe uw privacyverklaring er dus moet en zal uitzien zal dus meer concreet afhangen van uw organisatie en welke beslissingen u heeft genomen in het kader van de GDPR (welke grondslagen, welke doeleinden, welke ontvangers, hoelang u de gegevens zal bewaren edm.).

Deze gegevens zou u moeten kunnen terugvinden in uw dataverwerkingsregister. Aan de hand daarvan zou u dus over alle vereiste informatie moeten kunnen beschikken om uw privacyverklaring(en) volledig op te stellen, al naargelang de doelgroep.

Hoewel één en ander niet bindend is, raden wij u wel aan om minstens de hierna genoemde zaken in uw privacyverklaring op te nemen en te verduidelijken:

• Algemene contactgegevens van uw organisatie? Denk hier bijvoorbeeld aan uw bedrijfsnaam, adres, ondernemingsnummer, telefoon, fax, e-mail edm.
• Op wie is de privacyverklaring van toepassing? Gaat het bijvoorbeeld louter om bezoekers van uw website? Of gaat het over alle klanten van uw organisatie, zo ook klanten die bijvoorbeeld via mond-op-mond reclame tot bij u gekomen zijn.Zoals reeds gesteld moet u de privacy verklaring dus wel aanpassen aan de toepasbaarheid. Hoe ruimer de toepasbaarheid, hoe ruimer u alle hierna volgende vragen zal moeten beantwoorden.
• Wie binnen uw organisatie het verantwoordelijke aanspreekpunt is voor vragen of klachten en hoe men die persoon het best kan bereiken?
• Welke persoonsgegevens verwerkt worden? Als u via de website bijvoorbeeld werkt met een contactformulier dan verwerkt u vaak gewoon naam, voornaam, telefoonnummer en e-mailadres. Als u daarnaast nog andere gegevens verwerkt via andere soorten formulieren of forums, dan dient u deze gegevens echter zoveel als mogelijk te specifiëren. Opnieuw: Als uw privacyverklaring ruimer gaat dan enkel bezoekers van uw website (en dus bijvoorbeeld slaat op alle klanten) dan zal u moeten specifiëren welke gegevens men verwerkt van uw klanten los van de website. Dit kan gaan van meer algemene informatie tot meer gevoelige informatie (bijvoorbeeld een advocatenkantoor beschikt vaak over informatie rond het gerechtelijk verleden van een individu).
• Doeleinden en grondslag van de verwerking? Aan de hand van uw dataverwerkingsregister zou u in staat moeten zijn om hier een concreet antwoord te geven, rekening houdend met de toepasbaarheid van uw privacyverklaring. Voor websitebezoekers (vaak potentiële klanten) die hun gegevens bewust achterlaten in uw contactformulier kan de grondslag bijvoorbeeld “toestemming” zijn en het doel van de verwerking “uitvoering van de gekregen opdracht”.Om zeker te zijn van de “toestemming” kan u op uw website zelfs een extra veiligheid inbouwen door bij het contactformulier te voorzien dat de websitebezoeker een extra veld dient aan te vinken vooraleer zijn gegevens verstuurd kunnen worden naar uw organisatie. Een variant eigenlijk op de standaard “ik heb de algemene voorwaarden gelezen en goedgekeurd” maar dan concreet van toepassing op de privacyverklaring. Bijvoorbeeld: “ik heb de privacy verklaring gelezen en ga akkoord met de verwerking van mijn gegevens op de wijze zoals in de privacyverklaring uiteengezet”.
• Ontvangers van de gegevens? Afhankelijk van het doeleinde zoals hiervoor gespecifieerd kan het zijn dat de gegevens door andere personen/diensten ontvangen worden. Indien dit onbegonnen werk is moet u hier niet noodzakelijk concreet gaan opnoemen over welke personen of instanties het exact gaat. Het volstaat in dat geval om bijvoorbeeld de categorie van ontvangers te specifiëren. Denk maar aan administratieve overheden, gerechtsdeurwaarders, boekhouders edm.U dient in elk geval wel te verduidelijken of de gegevens doorgegeven worden aan landen buiten de Europese Economische Ruimte, zo ja, aan welke landen, en welke beschermingsmaatregelen u desgevallend voorziet.
• Bewaartermijn van de verwerkte gegevens? Zoals in onze eerder blogposten al toegelicht moet u uitdrukkelijk bepalen hoelang u bepaalde gegevens wil bewaren. Desgewenst kan u hier een onderscheid maken al naargelang de soort van gegevens (algemene informatie of gevoelige informatie) en al naargelang de personen van wie de gegevens worden bewaard (klanten of personeel), maar dit is niet altijd noodzakelijk.
• De rechten van de betrokkene wiens gegevens verwerkt worden en hoe zij deze rechten kunnen uitoefenen? Gezien dit reeds uitvoerig aangehaald werd in de vorige blogposten behoeft deze vraag weinig toelichting. Het enigste wat hierbij nog benadrukt kan worden is dat u duidelijk moet aangeven dat indien de grondslag “toestemming” is, dat mensen die toestemming naderhand wel opnieuw kunnen intrekken.U specificeert voor de zekerheid dan ook best welke stappen de mensen moeten nemen om hun rechten uit te oefenen (bijvoorbeeld: schriftelijk verzoek gericht aan de verantwoordelijke persoon voor vragen of klachten).
• Of uw organisatie gebruik maakt van “uitsluitend geautomatiseerde individuele besluitvorming”? Zo ja, geef hier wat meer uitleg rond. Vertel waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn. Zo nee, verzeker de betrokkene dat over belangrijke zaken geen beslissingen worden genomen op automatische wijze.
• Toelichting rond uw cookiebeleid? Hier kan u hetzij verwijzen naar uw afzonderlijke cookieverklaring, dan wel uw cookiebeleid integraal opnemen in de privacyverklaring. Wij raden echter aan om deze twee gescheiden te houden en in de privacyverklaring gewoon kort te verwijzen naar uw cookie verklaring. Dit verhoogt opnieuw de leesbaarheid.
• Welke beveiligingsmaatregelen uw organisatie hanteert om persoonsgegevens te beschermen en wat mensen kunnen doen als ze denken dat er sprake is van een datalek? Denk hier bijvoorbeeld aan IT-maatregelen, bedrijfspolicy’s edm. Hier vermeldt u ook best de mogelijkheid om klacht in te dienen bij de Dienst Gegevensbeschermingsautoriteit en hoe men deze dienst kan contacteren.