Als je persoonsgegevens verzamelt, ben je verplicht om de mensen van wie je die gegevens verzamelt hierover te informeren. Dat kun je bijvoorbeeld doen met een brochure (in de wachtkamer) en/of met een privacyverklaring, ook wel een privacy statement genoemd.

De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie.

Welke informatie moet er in een privacyverklaring staan?

In het document moet je in ieder geval de volgende informatie geven:

  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van jouw vertegenwoordiger in de EU;
  • de contactgegevens van jouw Functionaris voor Gegevensbescherming (als je die hebt);
  • de doeleinden en rechtsgrond van de verwerking, en als je je beroept op een gerechtvaardigd belang: welk belang dat dan is;
  • de (categorieën van) ontvangers van de persoonsgegevens;
  • of je van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie en op welke juridische grond;
  • de bewaartermijn van de gegevens;
  • de rechten van de betrokkene, zoals het recht op inzage, correctie en verwijdering;
  • het recht van de betrokkene om de gegeven toestemming voor een bepaalde verwerking altijd in te kunnen trekken;
  • dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder;
  • of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
  • of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe je besluiten neemt;
  • als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

Hoe zorg je dat jouw privacyverklaring toegankelijk is?

In de AVG staat dat je de informatie over jouw verwerkingen in principe schriftelijk moet geven. De beste manier om er zeker van te zijn dat jouw informatie voor de meeste mensen goed vindbaar is, is het publiceren van een online privacyverklaring. Daarnaast mag je andere middelen inzetten om de inhoud van jouw privacybeleid toegankelijk te maken. Zoals het tonen van pop-ups met een toelichting bij elke toestemmingsvraag. Of het gebruik van iconen of een video.

Duidelijke taal

De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Daarom moet je duidelijke en eenvoudige taal gebruiken. Dat betekent onder meer: wees kort en bondig, vermijd vaktermen en verplaats je in de lezer. Richt je je tot kinderen onder de zestien jaar? Of weet je dat kinderen jouw diensten veel gebruiken? Dan moet je de woordkeuze, toon en stijl van de informatie aanpassen. Zodat de kinderen weten dat deze informatie voor hen is bedoeld en ze de informatie kunnen begrijpen.

‘Gelaagde’ privacyverklaring

Om de informatie in een (online) privacyverklaring zo toegankelijk mogelijk te maken, kun je de verklaring in meerdere lagen opstellen. Denk hierbij aan de systematiek van een inhoudsopgave, met daaronder de paragrafen. Bijvoorbeeld:

  • in de eerste laag geef je kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokken personen.
  • in de tweede en derde laag van de privacyverklaring kun je meer in detail aangeven welke persoonsgegevens je voor welk doel verwerkt en hoe mensen hun rechten kunnen uitoefenen.

Voorbeelden van privacyverklaringen

Op de website van de KNMP vind je een model voor een privacyverklaring voor apothekers.