Checklist Privacyverklaring

AVG checklist

De AVG of GDPR schrijft duidelijk voor waarover geïnformeerd moet worden, dus wat je in een privacyverklaring op moet nemen. Dat zijn een paar algemene zaken die in elke privacyverklaring opgenomen moeten worden, maar andere informatie hoef je alleen in specifieke gevallen te vermelden. Ik heb het hieronder voor je opgesomd en in delen opgesplitst.

Algemene informatie

  • Identiteit, zoals de bedrijfsnaam zoals ingeschreven bij de KvK en contactgegevens.
  • Rechtsgronden voor de verwerking. Er zijn 6 rechtsgronden, waar van de belangrijkste toestemming, uitvoering van een overeenkomst, een wettelijke verplichting en het gerechtvaardigd belang zijn.
  • Doel voor de verwerking. Ofwel: wat ga je met de gegevens doen en waarvoor ga je ze gebruiken. Alle doelen moeten omschreven worden.
  • De gevolgen van het niet verstrekken van persoonsgegevens (door de betrokkene) moet gemeld worden, wanneer er sprake is van een wettelijke of contractuele verplichting of een noodzakelijke voorwaarde waar de persoonsgegevens voor verwerkt moeten worden.
  • Duur van de opslag. De persoonsgegevens mogen niet langer bewaard worden dan nodig. ‘Oneindig’ kan daarom niet. Leg uit hoe lang gegevens bewaard worden of welke criteria de termijn bepalen. Bijvoorbeeld: “Uw naam en e-mailadres slaan wij op zolang u op onze nieuwsbrief bent ingeschreven.”
  • Recht op inzage, rectificatie of wissing van de persoonsgegevens. Vermeld zowel dat de betrokkene dit recht heeft als hoe ze het in kunnen roepen, bijvoorbeeld door naar een speciaal e-mailadres te mailen.
  • Klachtrecht. De betrokkene moet geïnformeerd worden dat en hoe er een klacht ingediend kan worden bij de Autoriteit Persoonsgegevens.

Alleen in sommige gevallen

  • Contactgegevens van de Functionaris Gegevensbescherming (als die er is).
  • Gerechtvaardigd belang als grondslag gebruikt? Dan moet uitgelegd worden welk belang dat precies is. Dit kan soms ook een marketingbelang zijn.
  • Categorieën van ontvangers van de persoonsgegevens. Worden de gegevens doorgespeeld naar andere partijen, bijvoorbeeld omdat dit nodig is om de overeenkomst uit te voeren, dan moet vermeld worden naar welk soort partijen de gegevens worden doorgegeven.
  • Doorgifte aan een derde land moet vermeld worden. Wanneer de persoonsgegevens bijvoorbeeld bij een bedrijf worden ondergebracht met servers buiten Nederland en vooral buiten de EU, moet dat vermeld worden.
  • Als gegevens met toestemming zijn verkregen, moet vermeld worden dat de toestemming ingetrokken mag worden. Vermeld ook hoe dat kan, bijvoorbeeld door te mailen naar een specifiek e-mailadres.
  • Profiling en geautomatiseerde besluitvorming moeten vermeld worden, met daarbij waarom dat wordt gedaan en wat de verwachte gevolgen daarvan zijn. De betrokkene mag altijd bezwaar maken tegen profiling.

Wanneer gegevens niet van betrokkene zelf zijn verkregen

  • De bron waar de persoonsgegevens vandaan komen. Bijvoorbeeld omdat er een lijst gekocht is. Ook als de gegevens uit een openbare bron komen, moet dat vermeld worden