In een eerder blog heb ik geschreven over ‘het eigendom van persoonsgegevens’. Mijn conclusie was dat de AVG de betrokkenen (natuurlijke personen waarvan persoonsgegevens worden verwerkt) heeft gebombardeerd tot een soort ‘pseudo-eigenaar’ van zijn persoonsgegevens.

De privacyverklaring is mijns inziens daar een veelzeggend component van. Want in een privacyverklaring moet de organisatie (de verwerkingsverantwoordelijke) op een toegankelijke , transparante, beknopte, heldere, duidelijke en eenvoudige manier beschrijven:

• welke persoonsgegevens er door hem worden verzameld;
• hoe die persoonsgegevens gebruikt, bewaard en openbaar gemaakt worden;
• Hoe de betrokkene kan controleren dat dit ook daadwerkelijk het geval is;
• Hoe de betrokkene zijn rechten kan inroepen.

De tijd van het opstellen van een privacyverklaring aan de hand van het ‘kleine-lettertjes model’ is dus voorbij.

Maar er is meer aan de hand. Want naast het hebben van een inhoudelijk correcte privacyverklaring, is het ook belangrijk dat deze op het juiste moment en op de juiste plaats openbaar wordt gemaakt. Daarnaast moet je achteraf kunnen bewijzen dat alles conform de verklaring is gedaan.

Waar en wanneer moet ik de privacyverklaring openbaren?

Een privacyverklaring is bedoeld om de betrokkene te laten beoordelen of hij akkoord gaat met de wijze waarop de verwerkingsverantwoordelijke zijn persoonsgegevens wil gaan verwerken. Om de verwerking rechtmatig te laten zijn, moet dit gebeurd zijn vóór of op het moment dat er met de verwerking wordt gestart.

Praktisch betekent dit dat je als organisatie er dus voor moet zorgen dat je op elk fysiek punt waar er persoonsgegevens kunnen worden verzameld , een voor de betrokkene relevante privacyverklaring wordt verstrekt. Dit moet niet alleen gebeuren als je online gegevens verzamelt maar ook wanneer je dat telefonisch, via tekstberichten of persoonlijk doet.

Hoe bewijs ik, dat ik het volgens de regels heb gedaan?

Om te voorkomen dat je achteraf door een betrokkene wordt beticht van een onrechtmatige verwerking, is het zaak ook een archief van de privacyverklaringen aan te leggen, met daarin de details over de plaatsing en de timing. Daarnaast is ook aan te raden dat:

• in het geval er een mondelinge of schriftelijke verklaring is gegeven, hiervan kopieën van de correspondentie of opnames van telefoongesprekken bestaan;
• er procedures bestaan voor het, conform de privacyverklaring, reageren op verzoeken van klanten waarin zij hun rechten inroepen.
• er procedures zijn die uitleggen hoe te reageren en in welk format;
• er een ‘kennisgevingsprotocol’ voor inbreuk bestaat, dat gebruik maakt van duidelijke en eenvoudige taal.

Kortom, een privacyverklaring onder de nieuwe AVG is niet zomaar een document dat je bijvoorbeeld op je website plaatst. Het is een fundamenteel document dat inhoudelijk de noodzakelijke informatie moet bevatten en op het juiste moment en op de juiste plaats aan de betrokkene ter beschikking moet worden gesteld, om de verwerking van persoonsgegevens rechtmatig te doen zijn.