Ga direct naar de inhoud.

Voldoet uw privacy statement aan de AVG?

Is uw privacy statement al AVG-proof?

Met de komst van de General Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties veel meer informatie pro-actief aan betrokkenen te verstrekken dan voorheen het geval is. Dit heeft tot gevolg dat uw privacy statement aanzienlijk uitgebreid moet worden. Daarentegen vereist de AVG dat u de informatie beknopt en in eenvoudige taal presenteert. Hoe krijgt u dit voor elkaar?

Wat kan NewBaze voor u betekenen bij privacy compliance?

Wilt u compliant zijn aan de AVG? Dan kan NewBaze uw organisatie onder meer ondersteunen bij:

  • het inventariseren van de specifieke verplichtingen van uw organisatie op grond van de AVG;
  • het inventariseren en vaststellen van de bewaartermijnen van privacygevoelige informatie;
  • het uitvoeren van een privacy impact assessment;
  • het opstellen van een verwerkingsregister;
  • het opstellen van een protocol meldplicht datalekken;
  • het opstellen van een privacy protocol en een privacy statement, specifiek afgestemd op de activiteiten van uw organisatie;
  • het opstellen van verwerkersovereenkomsten.

Heeft u behoefte aan een dergelijke ondersteuning? Of heeft u meer vragen over de AVG? Neem dan vrijblijvend  contact op met mr. Sandra Verberk-Elich op sandra.verberk@newbaze.nl of bel 088-9951100

Wat houdt de verplichting tot transparantie in?

Artikel 12 van de AVG verplicht organisaties ervoor zorg te dragen dat dat de betrokkene informatie over de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt. De informatie dient zo mogelijk schriftelijk (daaronder begrepen via elektronische middelen) worden verstrekt. Het ontvangen van de informatie dient bovendien kosteloos te zijn voor betrokkenen.

Welke informatie moet aan betrokkenen worden verstrekt?

Waarover de betrokkenen geïnformeerd moeten worden, is afhankelijk van de vraag of de persoonsgegevens rechtstreeks van betrokkenen zijn ontvangen of dat deze van derden of uit openbare bronnen zijn verkregen.

Men verkrijgt de gegevens van betrokkene zelf als de betrokkene zelf, actief zijn of haar persoonsgegevens ter beschikking stelt. De betrokkene bepaalt of en - zo ja - welke gegevens worden verstrekt, bijvoorbeeld door het invullen van een aanvraagformulier.

Een andere mogelijkheid om gegevens te verkrijgen is als de gegevens worden vergaard via derden (bijvoorbeeld contactadressen via een marketingbedrijf) of via openbare bronnen (bijvoorbeeld het handelsregister van de kamer van koophandel). Aldus buiten de betrokkene om.
Voor beide manieren van het verkrijgen van de gegevens geldt dat de volgende informatie verstrekt moet worden:

  • De identiteit en contactgegevens van de verantwoordelijke;
  • De contactgegevens van de Functionaris voor gegevensbescherming (FG), voor zover een FG is vereist;
  • De beoogde doelen van de verwerking en de wettelijke grondslag(en) daarvan;
  • De omschrijving van het gerechtvaardigd belang, voor zover de verwerking daarop gebaseerd is;
  • De ontvangers of categorieën van ontvangers van de persoonsgegevens;
  • De privacy waarborgen bij doorgifte van de gegevens naar derde landen;
  • De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn);
  • De rechten van betrokkenen;
  • Het recht om eerder verleende toestemming in te trekken;
  • Het recht om een klacht in te dienen bij de bevoegde autoriteit;
  • Of er sprake is van geautomatiseerde besluitvorming (o.a. profilering) en zo ja, de onderliggende logica, het belang en de verwachte gevolgen voor de betrokkene.

Indien de gegevens van betrokkene zelf worden verkregen, dan geldt daarnaast dat betrokkene moet worden geïnformeerd over zijn of haar verplichting tot verstrekken van de gegevens. Indien de verstrekking van gegevens verplicht is, moet aangegeven worden of dit een wettelijke of contractuele verplichting betreft. Ook moet dan worden vermeld wat de gevolgen zijn van het niet verstrekken van de persoonsgegevens.

Zijn de gegevens op andere wijze dan van betrokkene zelf verkregen, dan is de verwerkingsverantwoordelijke verplicht om de betrokkene te informeren over:

  • De betrokken categorieën van persoonsgegevens;
  • De bron van waar de persoonsgegevens vandaan komen.

Wanneer moet u deze informatie verstrekken?

Die hierboven genoemde informatie moet uiterlijk binnen een maand na het verkrijgen van de persoonsgegevens aan de betrokkene worden verstrekt. Worden de persoonsgegevens doorgegeven aan andere ontvangers, dan moet deze informatie worden verstrekt op het moment van deze doorgifte.
Alleen als de betrokkene al op de hoogte is van deze informatie, of het informeren van de betrokkene onmogelijk is of onevenredig veel moeite kost, of de verkrijging of verstrekking wettelijk verplicht is en de wet voorziet in passende maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene, of de gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim is het informeren van de betrokkene niet verplicht

Wilt u een goed privacy statement laten opstellen?

Neem dan vrijblijvend contact met ons op via onderstaand contactformulier of bel ons op telefoonnummer 088-9951100. Wij helpen u graag verder.

Meer informatie

Laat NewBaze uw privacy statement opstellen:

  • volledig in overeenstemming met de AVG of GDPR; 
  • leesbare en begrijpelijke teksten;
  • toegesneden op uw organisatiedoelen;
  • gerichte aanpak van risico's van uw manier van zaken doen;
  • vaste prijsafspraken mogelijk.
×
NewBaze.nl maakt gebruik van cookies. Bij gebruik van onze website gaat u ermee akkoord dat we deze cookies plaatsen en daarmee gegevens verzamelen. Op deze manier krijgen we een goed beeld van u als bezoeker en kunnen we u een optimale gebruikerservaring bieden.
Lees meer over cookies