Een privacyverklaring is het visitekaartje van een bedrijf als het gaat om privacy. Als ik voor het eerst naar een cliënt ga om te adviseren over privacy kijk ik meestal eerst even naar de privacyverklaring op de website van het bedrijf. Dit is namelijk meestal een goede graadmeter om te zien of er is nagedacht over privacy en in hoeverre een bedrijf voldoet aan haar verplichtingen onder de Algemene Verordening Gegevensbescherming (‘AVG’). Een goede reden dus om ervoor te zorgen dat de privacyverklaring van uw bedrijf aan de AVG voldoet. In deze column vertel ik over de verplichtingen omtrent transparantie en informatie onder de AVG. Daarbij ga ik kort in op de inhoud van de transparantie- en informatieverplichting en de risico’s indien niet wordt voldaan aan de AVG.
Onder de AVG moet kunnen worden aangetoond dat je op transparante wijze met persoonsgegevens omgaat. Dat betekent dat een bedrijf voorafgaand aan of op het moment van het verzamelen van persoonsgegevens de betrokkene op de hoogte dient te stellen van de wijze waarop persoonsgegevens worden verwerkt. Daarbij dient specifieke informatie te worden verstrekt. Deze informatie betreft onder meer het doel van de verwerking, de rechtsgrond, de bewaartermijn, met wie de gegevens worden gedeeld en welke rechten betrokkenen hebben.
Al deze informatie dient op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te worden gegeven. Dit is niet makkelijk, want er moet veel informatie worden gegeven, waardoor de privacyverklaring snel lang van stof is. Daarnaast is de informatie die moet worden gegeven soms vrij juridisch van aard wat het lastig maakt om dit op begrijpelijke wijze over te brengen aan de specifieke doelgroep (zeker als de doelgroep bijvoorbeeld kinderen betreft). Om die reden verdient het aanbeveling om de privacyverklaring logisch te structureren en, waar mogelijk, in verschillende lagen aan te bieden. De belangrijkste informatie kan dan eerst getoond worden en als iemand meer wil weten kan verder worden geklikt. Laat de privacyverklaring ook lezen door verschillende personen die behoren tot de doelgroep. Indien de verklaring door hen wordt begrepen, kan worden aangetoond dat de verklaring begrijpelijk is.
Indien niet wordt voldaan aan de transparantie- en informatieverplichting onder de AVG kunnen betrokkenen schadevergoeding vorderen (welke zowel materiële als immateriële schade omvat) en kan de Autoriteit Persoonsgegevens (‘AP’) een last onder dwangsom of een geldboete opleggen tot maximaal EUR 20.000.000,- of tot 4% van de totale wereldwijde jaaromzet. De AP let bij het opleggen van een dergelijke boete wel onder meer op de aard, de ernst en de duur van de inbreuk. Het grootste risico dat een bedrijf loopt is misschien nog wel reputatieschade. De AP publiceert de bevindingen van een onderzoek en als het openbaar wordt dat een bedrijf niet goed omgaat met privacy, kan dit grote gevolgen hebben voor de reputatie van het bedrijf. Een goede reden dus om privacy serieus te nemen en aan de slag te gaan met het opstellen van een privacyverklaring.