Privacybeleid volgens de AVG
De Algemene Verordening Gegevensbescherming (AVG) is wetgeving van de EU die erop is gericht om EU-burgers meer controle over hun gegevens te geven. Krachtens deze verordening, moeten organisaties die gegevens van EU-burgers behandelen de regels op het gebied van gegevens en privacy naleven.
Een van de belangrijkste vereisten en wijzigingen is dat jouw privacybeleid moet worden bijgewerkt overeenkomstig de eisen van de AVG. In sommige gevallen moet je wellicht een bericht over de veranderingen in jouw privacybeleid verzenden of publiceren.
Het doel van deze post is om je beter bekend te maken met de AVG en om je te tonen hoe jouw privacybeleid eruit moet zien met de AVG in gedachten.
- 1. Wat is de AVG en waarom moet je hem naleven?
- 2. Jouw privacybeleid in overeenstemming met de AVG
- 2.1. Jouw verwerkingsverantwoordelijke en de relevante contactinformatie
- 2.2. Jouw FG en de relevante contactinformatie
- 2.3. Het gebruik van gegevens om geautomatiseerde beslissingen te nemen
- 2.4. Gebruikers informeren over de acht rechten die zij krachtens de AVG hebben
- 2.5. Internationale doorgifte van gegevens
- 2.6. De rechtsgronden voor jouw gegevensverwerking
- 3. Hoe krijg je toestemming?
- 4. Conclusie
Wat is de AVG en waarom moet je hem naleven?
De AVG is een nieuwe wetgeving voor de bescherming van gegevens en privacy die door het Europese Parlement en de Raad is ontwikkeld voor de bescherming van de rechten van EU-burgers ten aanzien van hun gegevens. Deze verordening is van invloed op bedrijven (inclusief websites, mobiele apps en apps op pc's enz.) die zakelijke transacties met EU-burgers uitvoeren.
Op 25 mei 2018, is de AVG in de plaats gekomen van de bestaande gegevensbeschermingswet d.w.z. de Richtlijn inzake de bescherming van persoonsgegevens, die sinds 1995 van kracht was. Als jouw bedrijf de gegevens van EU-burgers verzamelt en verwerkt, ben je vereist om deze verordening na te leven. Niet-naleving kan resulteren in aanzienlijke boetes tot €20 miljoen of vier procent van je jaaromzet, de hoogste van deze twee.
Een van de belangrijkste doelen en eisen van de AVG is EU-burgers op de hoogte te houden van hoe bedrijven hun persoonsgegevens verzamelen, gebruiken, delen, beveiligen en verwerken.
Krachtens de AVG, wordt van je geëist dat je jouw klanten informeert over de reden waarom je hun gegevens verwerkt en hoe lang je de gegevens zult opslaan. Je moet hen in duidelijke en heldere taal vertellen hoe je hun gegevens gebruikt. Deze informatie moet hen gratis worden verstrekt. Als de gebruikers kinderen zijn, ben je vereist hen informatie te verstrekken in taal die ze kunnen begrijpen, dus geen juridisch jargon.
Een van de gemakkelijkste manieren om transparant te blijven en je gebruikers te informeren is via je privacybeleid.
Jouw privacybeleid in overeenstemming met de AVG
Krachtens de AVG ben je vereist om een volledig, maar toch eenvoudig privacybeleid op te stellen en die toegankelijk voor je gebruikers te maken.
Voorafgaand aan de invoering van de AVG werd algemeen geaccepteerd en verwacht dat privacybeleid meestal de volgende informatie bevat:
- Welke persoonsgegevens je verzamelt
- Hoe je ze verzamelt
- Waarvoor je ze gebruikt
- Hoe je ze veilig houdt
- Of je ze met derden deelt
- Eventuele zeggenschap die gebruikers hierover hebben
De AVG heeft nu echter de eisen voor wat je privacybeleid moet bevatten uitgebreid.
Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:
- Click on "Start creating your Privacy Policy" on our website.
- Select the platforms where your Privacy Policy will be used and go to the next step.
- Add information about your business: your website and/or app.
- Select the country:
- Answer the questions from our wizard relating to what type of information you collect from your users.
-
Enter your email address where you'd like your Privacy Policy sent and click "Generate".
And you're done! Now you can copy or link to your hosted Privacy Policy.
Laten we kijken naar een aantal AVG-specifieke updates en clausules die in je privacybeleid moeten staan.
Jouw verwerkingsverantwoordelijke en de relevante contactinformatie
Als je de controle hebt over de persoonsgegevens van je klanten of je verwerkt ze voor een ander bedrijf, stel je klanten hiervan dan op de hoogte. Vertel hun wie je bent en wat je rol is met betrekking tot hun gegevens.
In dit voorbeeld vertelt Slack - een bedrijf op cloudbasis - zijn gebruikers dat zijn in Ierland gevestigde bedrijf geoorloofde gebruikersgegevens van klanten buiten de VS en Canada beheert en verwerkt. Het bedrijf noemt bovendien dat zijn in de VS gevestigde bedrijf de geoorloofde gebruikersgegevens van klanten in de VS en Canada beheert en verwerkt.
Dit is hoe Towergate dit doet in zijn Verklaring eerlijke verwerking. Je kunt een vergelijkbare clausule in jouw privacybeleid opnemen:
Towergate vertelt zijn gebruikers duidelijk dat het hun gegevens beheert. Alle gegevens die gebruikers verstrekken, worden door Towergate bewaard.
Jouw FG en de relevante contactinformatie
Niet elk bedrijf is krachtens de AVG vereist over een functionaris gegevensbescherming (FG) te beschikken.
Als je dat echter wel bent, moet je informatie hierover en de contactinformatie van de FG in je privacybeleid opnemen.
GitHub gebruikt een tabel in zijn privacyverklaring in een onderdeel Klachtenbehandeling waarin de contactinformatie van de FG wordt verstrekt.
Het gebruik van gegevens om geautomatiseerde beslissingen te nemen
De AVG eist van jou dat je je klanten informeert of je geautomatiseerde beslissingen gebruikt (bijvoorbeeld voor kredietscores of voor het profileren van gebruikers) om diensten/producten aan je gebruikers te leveren.
Dit is hoe Towergate dit doet:
Gebruikers informeren over de acht rechten die zij krachtens de AVG hebben
De AVG eist van je dat je je gebruikers op de hoogte stelt van hun acht rechten krachtens de AVG, te weten:
- Het recht om in kennis te worden gesteld
- Het recht van inzage
- Het recht van rectificatie
- Het recht van wissing
- Het recht om verwerking te beperken
- Het recht van gegevensoverdraagbaarheid
- Het recht om bezwaar te maken
- Rechten met betrekking tot geautomatiseerde besluitvorming en profilering
Je kunt deze rechten behandelen in één lange clausule in je privacybeleid, zoals Direct Travel hier in zijn beleid doet:
Of je kunt elk recht in een aparte clausule behandelen met meer op de persoon afgestemde details.
Hier volgt nog een voorbeeld van een clausule van uSwitch waarin gebruikersrechten krachtens de AVG worden behandeld:
uSwitch vertelt zijn klanten over hun recht om de verwerking van hun persoonsgegevens voor marketingdoeleinden te stoppen. De gebruiker kan dit recht uitoefenen door op formulieren een vinkje te plaatsen of verwijderen wanneer hun gegevens worden verzameld, of dit later via e-mail doen.
Dit is hoe GameStop via zijn privacybeleid zijn gebruikers in kennis stelt van hun recht op inzage.
Begrijp dat het zeer belangrijk is dat je op de juiste wijze verzoeken om inzage van privacygegevens behandelt.
In zijn privacybeleid heeft Twitter een overdraagbaarheidsclausule opgenomen die uitlegt dat gebruikers een reeks gekoppelde instructies kunnen volgen om de informatie die ze via de website hebben gedeeld te downloaden.
Bovendien heeft Twitter een aparte clausule voor inzage en rectificatie van persoonsgegevens die gebruikers uitlegt hoe ze hun persoonsgegevens direct via de pagina accountinstellingen kunnen wijzigen.
Zo lang elk van de acht rechten ergens in je privacybeleid worden behandeld, heb je opties voor de manier waarop je dit doet.
Internationale doorgifte van gegevens
Als je gegevens internationaal doorgeeft, moet je dit in je privacybeleid vermelden. Vermeld ook eventuele "waarborgen inzake gegevensbescherming" waaronder jouw bedrijf valt.
Debenhams illustreert dat op deze manier:
Debenhams informeert zijn gebruikers dat het gebruikersgegevens doorgeeft aan een derde partij die zich buiten de Europese Economische Ruimte (EER) bevindt. Het vertelt zijn klanten bovendien dat het bij dergelijke doorgiften aan de Britse Gegevensbeschermingswet van 1998 zal voldoen.
De rechtsgronden voor jouw gegevensverwerking
De AVG eist dat je een rechtsgrond verstrekt voor het verwerken van persoonsgegevens van klanten. Er zijn zes rechtsgronden die als volgt luiden:
- De betrokkene heeft toestemming voor de verwerking gegeven
- Verwerking is noodzakelijk voor de uitvoering van een contract tussen de twee partijen
- Verwerking is noodzakelijk voor de naleving van een wettelijke verplichting
- Verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen
- Verwerking is noodzakelijk om een algemeen belang te beschermen of openbaar gezag uit te oefenen
- Verwerking is noodzakelijk voor het doel van gerechtvaardigde belangen zo lang geen inbreuk wordt gemaakt op de fundamentele rechten en vrijheden
Zoals je kunt zien, is het het gemakkelijkst om eenvoudig toestemming te krijgen om persoonsgegevens te verwerken, wat later in dit artikel wordt behandeld.
Reden nummer 6 is bovendien een gemeenschappelijke rechtsgrond omdat wat geldt als 'gerechtvaardigd belang' zeer breed is.
Deze informatie staat veelal in een clausule: "Hoe we de informatie die we verzamelen gebruiken", zoals in dit voorbeeld van Trello:
Trello heeft bovendien een clausule die specifiek gaat over de Rechtsgronden voor verwerking (voor EER-gebruikers):
Jouw rechtsgronden omvatten waarschijnlijk gerechtvaardigde belangen zoals klantenondersteuning, marketing en andere veelvoorkomende bedrijfsbelangen. Vermeld dit in je privacybeleid zodat gebruikers weten waarom je hun gegevens moet verzamelen.
En, zoals vermeld, kun je het beste altijd eerst toestemming vragen voordat je persoonsgegevens verzamelt of gebruikt.
Hoe krijg je toestemming?
De AVG eist dat voordat je de persoonsgegevens (zoals namen, telefoonnummers enz.) van je eindgebruikers verzamelt, je duidelijk toestemming van hen moet vragen en krijgen. In het geval dat de verzamelde gegevens zeer gevoelig zijn (bijv. creditcardnummer, burgerservicenummer enz.) ben je vereist om expliciete toestemming te krijgen.
Je moet er bovendien voor zorgen dat gebruikers instemmen met de bepalingen in je privacybeleid.
Om de toestemming van gebruikers te krijgen, wordt aangeraden dat je selectievakjes en clickwrap gebruikt. Hieronder volgt een aantal voorbeelden die laten zien hoe je toestemming van gebruikers krijgt.
Sainsbury's gebruikt een selectievakje om de toestemming van gebruikers te vragen en verstrekt bovendien een link met de pagina met algemene voorwaarden. Het bedrijf vraagt daarnaast toestemming voor het sturen van andere informatie aan de gebruiker met een eenvoudig ja/nee-keuzerondje.
Het Data Protection Network toont de algemene voorwaarden van de website op een pagina waarop je naar beneden kunt scrollen met direct daaronder een selectievakje voor het verkrijgen van toestemming van de gebruiker. Het gebruikt een intuïtieve vink/kruis-knop om de toestemming van gebruikers te vragen voor het toezenden van e-mails. Het verstrekt op dezelfde pagina ook een link naar het privacybeleid.
Dit werkt ook voor apps. Dit is hoe de ID-app van Adobe clickwrap gebruikt om gebruikers bij aanmelding te vragen met het privacybeleid in te stemmen:
Conclusie
Hoewel je waarschijnlijk al een privacybeleid voor je bedrijf, website of app hebt, vraagt de AVG je om dit te herzien en bij te werken om het informatiever en beknopter te maken en er enige specifieke informatie in te vermelden die voorheen niet vereist was.
Bovendien moet je je toestemmingseisen strenger maken met gebruik van selectievakjes, instemmingsknoppen en een duidelijke tekst rond deze functies die gebruikers informatie geeft over waar ze precies mee instemmen.