Whitepaper Privacyvoorwaarden Hoe stelt u begrijpelijke en juridisch correcte privacyvoorwaarden op? www.considerati.com 1 Inleiding Privacy en de bescherming van persoonsgegevens staan steeds nadrukkelijker in de maatschappelijke belangstelling. Als organisatie bent u wettelijk verplicht zorgvuldig om te gaan met persoonsgegevens en voorlichting te geven over de verwerking van persoonsgegevens. Meestal gebeurt dit in de vorm van privacyvoorwaarden (ook wel privacy policy, privacybeleid of privacy statement genoemd). Met de aankomende Algemene Verordening Gegevensbescherming worden de wettelijke eisen ten aanzien van privacyvoorwaarden strenger en krijgt de toezichthouder uitgebreidere boetebevoegdheden. De boete die de toezichthouder in de toekomst kan opleggen voor ondeugdelijke privacyvoorwaarden kan oplopen tot maar liefst 100 miljoen euro of 5% van de wereldwijde jaaromzet! Een goede reden om kritisch naar de privacyvoorwaarden van uw producten en diensten kijken. Duidelijke privacyvoorwaarden vergroten het vertrouwen dat gebruikers hebben in uw dienstverlening en verkleinen de kans op ingrijpen door de toezichthouder. Het is echter niet eenvoudig om goede privacyvoorwaarden op te stellen die én voldoen aan de bij wet gestelde eisen én tegelijkertijd begrijpelijk zijn voor de gebruiker. In dit Whitepaper bespreken wij de belangrijkste eisen die worden gesteld aan privacyvoorwaarden en geven wij tips voor goede en leesbare voorwaarden. Wilt u meer weten over het opstellen van privacyvoorwaarden voor producten en diensten van uw organisatie? Considerati helpt u met het opstellen van toegankelijke en leesbare privacyvoorwaarden. Neem vrijblijvend contact op met de experts van Considerati. mr. dr. Bart W. Schermer Partner E-mail: [email protected] Telefoon: 06-13433437 mr. drs. Martine Wubben CIPP/E Senior legal consultant email: [email protected] Telefoon: 06-14586741 2 www.considerati.com 2 Waarom privacyvoorwaarden? Privacyvoorwaarden dienen in juridische zin een tweeledig doel. Ten eerste dienen zij om de gebruiker te informeren over het verwerken van privacygevoelige informatie (persoonsgegevens). Wil een organisatie (de ‘verantwoordelijke’) persoonsgegevens verwerken, dan moet de deze de gebruiker (de ‘betrokkene’) hierover informeren. Ten tweede vormen privacyvoorwaarden -waar nodig- de basis voor toestemming van de gebruiker voor de verwerking persoonsgegevens. De toestemming moet namelijk gebaseerd zijn op 'specifieke informatie' en deze informatie geeft u via de privacyvoorwaarden. 3 Waar moeten uw privacyvoorwaarden aan voldoen? Goede privacyvoorwaarden voldoen zowel qua vorm als aan inhoud aan bepaalde eisen. Wettelijk gezien zijn er momenteel nog geen eisen aan de vorm van privacyvoorwaarden. Dit gaat met de komst van de Algemene Verordening Gegevensbescherming veranderen. Er zijn momenteel wel al eisen die niet in de wet staan, maar door de toezichthouders zijn geformuleerd. U kunt deze eisen als 'dringend advies' opvatten. De vorm van de privacyvoorwaarden moet voldoen aan de volgende eisen: 1. Vindbaarheid 2. Toegankelijkheid 3. Leesbaarheid Qua inhoud zijn er door de wetgever wel verplichtingen geformuleerd. Daarnaast hebben de toezichthouders ook nog aanvullende inhoudelijke eisen geformuleerd. Het gaat alles bij elkaar om de onderstaande eisen. De wettelijk verplichte eisen zijn aangegeven met een asterisk (*). 1. 2. 3. 4. 5. 6. 7. 8. Identificatie* Specificatie gebruikte gegevens en doeleinden* Delen van gegevens met derden* Noodzakelijkheid van de te verstrekken gegevens* Rechten van de gebruiker* Bewaartermijnen Veiligheidsmaatregelen Uitleg afwegingen voor het gebruik van persoonsgegevens In de volgende paragrafen gaan we nader in op de individuele eisen. 3 www.considerati.com 3.1 Vorm 1. Vindbaarheid De privacyvoorwaarden dienen voor de gebruiker zowel voor als na de aanschaf van uw producten en diensten gemakkelijk vindbaar te zijn. Stop de privacyvoorwaarden daarom niet diep weg in menu's maar zorg dat ze altijd snel aan te klikken zijn. 2. Toegankelijkheid Om de transparantie te vergroten is het van belang dat privacyvoorwaarden goed leesbaar zijn en dat ze gemakkelijk te navigeren zijn. Korte en bondige privacyvoorwaarden vergroten de toegankelijkheid voor de gebruiker. Maak bijvoorbeeld gebruik van opsommingstekens en deel de voorwaarden in met duidelijke kopjes en titels. Wanneer u veel informatie moet verstrekken, maak dan 'gelaagde' privacyvoorwaarden. In gelaagde privacyvoorwaarden wordt eerste beknopte informatie verstrekt en daarna pas in de onderliggende lagen alle details gegeven. 3. Leesbaarheid Privacyvoorwaarden moeten in begrijpelijke en duidelijke taal worden opgesteld. Bovendien dienen de voorwaarden toegespitst te zijn op de gebruiker. Vermijd daarom juridisch of technisch jargon, lange zinnen en bijzinnen. Ten slotte is het belangrijk dat de voorwaarden niet te lang zijn: houd ze kort en bondig. 3.2 Inhoud 1. Identificatie* Het dient voor de gebruiker mogelijk te zijn om te identificeren wie de 'verantwoordelijke' is voor de verwerking van persoonsgegevens. Geef daarom duidelijk aan wie u bent. Denk hierbij aan adresgegevens, e-mailadres, telefoonnummer en KvK-nummer. 2. Specificatie gebruikte gegevens en doeleinden* Het is belangrijk om duidelijk weer te geven welke verwerkingen plaatsvinden en voor welke doeleinden de verschillende categorieën gegevens worden gebruikt. Daarbij moet een onderscheid worden gemaakt tussen verwerkingen die op specifieke gebruikers van toepassing zijn en verwerkingen die op iedere gebruiker van toepassing zijn. 3. Delen van gegevens met derden* Het dient voor de gebruiker duidelijk te zijn of zijn (persoons)gegevens worden verstrekt aan derden. Het is daarbij van belang dat voor de gebruiker duidelijk is omschreven in welke gevallen de gegevens aan derden worden verstrekt en welke derden dit zijn. 4 www.considerati.com 4. Noodzakelijkheid van de te verstrekken gegevens Bij het opstellen van de privacyvoorwaarden dient een onderscheid gemaakt te worden tussen gegevens die noodzakelijk verstrekt moeten worden en gegevens die vrijwillig verstrekt kunnen worden. Geef bijvoorbeeld aan welke velden verplicht ingevuld moeten worden door gebruikers in een invulformulier en welke optioneel zijn. 5. Rechten van de gebruiker* De gebruiker dient gewezen te worden op diens recht van inzage, correctie, verwijdering en verzet. Hierbij dient duidelijk aangegeven te zijn hoe de gebruiker van deze rechten gebruik kan maken, bijvoorbeeld door een link op te nemen naar de klantenservice of de juridische afdeling die zich met deze verzoeken bezighoudt. 6. Bewaartermijnen De gebruiker dient gewezen te worden op de bewaartermijnen van de persoonsgegevens. Geef daarom aan hoe lang u de gegevens bewaart en waarom u ze zo lang bewaart. 7. Veiligheidsmaatregelen De verantwoordelijke voor de verwerking van persoonsgegevens dient voldoende veiligheidsmaatregelen te nemen om zoveel mogelijk te voorkomen dat er datalekken of andere beveiligingsproblemen plaatsvinden. In de privacyvoorwaarden moet op hoofdlijnen worden vermeld welke beveiligingsmaatregelen er worden genomen en welk niveau van beveiliging de gebruiker kan verwachten. 8. Uitleg afwegingen voor het gebruik van persoonsgegevens De privacyvoorwaarden dienen een toelichting te bevatten waarom bepaalde gegevens worden gebruikt en welke afweging hier aan ten grondslag ligt. Hoe duidelijker u kunt uitleggen waarom u heeft gekozen om bepaalde gegevens te verwerken, hoe groter het begrip van de gebruiker. 5 www.considerati.com 4 Checklist Inhoud vorm Om op gemakkelijke te wijze te controleren of de privacyvoorwaarden van uw producten en diensten voldoen aan de (wettelijke) eisen heeft Considerati een checklist opgesteld. Vindbaarheid Toegankelijkheid Leesbaarheid Identificatie* Gegevens en doeleinden* Delen gegevens met derden* Noodzakelijkheid gegevens* Rechten van de gebruiker* Bewaartermijnen Veiligheidsmaatregelen Afwegingen gebruik * Wettelijk verplicht 6 www.considerati.com
© Copyright 2024 ExpyDoc
