Ook zo flauw van al die mail en meldingen op websites over privacy? Wil je misschien cookies? Bedrijven moeten iets, legt NoordZaken-expert en privacy advocaat Koen Konings uit.

Door Koen Konings

Sinds 25 mei 2018 geldt de nieuwe privacywetgeving, de 'AVG'. Eén van de gevolgen ervan is dat bedrijven elkaar bestoken met 'verwerkersovereenkomsten' en andere privacydingen. De 'privacyverklaring' (in het Engels: 'privacy statement') is daar een voorbeeld van. Het lijkt erop dat geen bedrijf zonder kan. Maar wettelijk verplicht is zo'n verklaring helemaal niet.

Transparantie

De privacyregels verplichten bedrijven om transparant te zijn, bijvoorbeeld over hoe ze persoonsgegevens verwerken. Daar moeten ze degene van wie de gegevens worden opgeslagen of verwerkt over informeren.

Inzage

Het doel van de verplichte transparantie is om de betrokkene in staat te stellen zijn rechten te gebruiken. Iedereen heeft namelijk het recht op inzage in zijn gegevens, het recht op verbetering en het recht op verwijdering (of 'om vergeten te worden') van zijn gegevens. Door transparantie is controle mogelijk. Hoe deze transparantie precies moet worden geboden laten de regels overigens in het midden.

Het moment waarop bedrijven aangeven wat ze met de informatie doen hangt af van wie de persoonsgegevens zijn verkregen. Is dat van de betrokkene zelf, dan moet deze geïnformeerd worden wanneer die zijn persoonsgegevens geeft. Als bij een website bijvoorbeeld van bezoekers meteen persoonsgegevens worden verwerkt, zoals IP-adres of cookies, dan moet daarover op dat moment worden geïnformeerd. Vandaar ook al die online-privacyverklaringen en cookie-banners.

Derden

Wordt de informatie over de betrokkene niet van de betrokkene zelf, maar juist van derden verkregen, dan geldt een redelijke termijn voor openheid. Informatie over hoe er omgegaan wordt met persoonsgegevens kan dan even op zich laten wachten, maar moet uiterlijk binnen één maand bekend gemaakt worden. Al zijn er een paar uitzonderingen.

Overbelast

Met de privacyverklaringen willen bedrijven voorkomen dat hun helpdesks worden overbelast. De toezichthouder, de Autoriteit Persoonsgegevens, geeft ook aan dat een online privacyverklaring de meest handige manier is om te voldoen aan de verplichting tot transparantie.

Klant

Als een bedrijf besluit een privacyverklaring op te stellen, dan moet nog worden bepaald wat er precies in moet staan. De meeste privacy statements gaan over wat er via de website aan informatie wordt vergaard en verwerkt. Soms wordt er in een privacyverklaring aan bezoekers veel meer verteld over de onderneming zelf. Hoe klantgegevens worden verwerkt bijvoorbeeld. Dat kan nodig zijn als bezoekers daadwerkelijk iets kopen bij de webshop, maar lang niet alle bezoekers worden klant.

Tussenin

Vaak zit de privacyverklaring er tussenin. Er wordt dan informatie gegeven over de meer openbare verwerkingen. Verdere informatie volgt op een later moment bijvoorbeeld wanneer de klant daadwerkelijk wat koopt.

Niet verwarren

Heb je een website, weeg dan af wat voor je organisatie het handigst is om te hanteren: volledige transparantie vooraf of transparantie op het juiste moment in de juiste context. Het is verder zaak om de privacyverklaring niet te verwarren met een zogenaamde disclaimer, want zo'n tekst probeert enkel aansprakelijkheid uit te sluiten.

Koen Konings is IT-advocaat bij NORD te Groningen en initiatiefnemer van Privacy-Administratie.nl.



