In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG/GDPR) met zich meebrengt.
In dit blog: wat moet er in de privacyverklaring staan?
Wat moet er in de AVG privacyverklaring staan?
In de verklaring moet straks, naast de identiteit en de doeleinden van de verwerking van de persoonsgegevens minimaal worden opgenomen:
- Contactgegevens FG. Als er een functionaris gegevensbescherming (FG) is, de contactgegevens van de FG. Dit hoeft niet een naam te zijn, maar wel directe contactgegevens, zoals een email adres of telefoonnummer dat alleen van de FG is.
- Rechtsgrond. Welke rechtsgrond er is voor het gebruik van de persoonsgegevens en als de grondslag het gerechtvaardigd belang is, wát dat gerechtvaardigd belang is.
Waar van toepassing: - Ontvangers. Welke externe partijen of categorieën partijen (ontvangers) de persoonsgegevens ontvangen. Hieronder vallen bijvoorbeeld verwerkers, andere marktpartijen, groepsmaatschappijen, maar ook overheidsinstanties onder aan wie persoonsgegevens worden doorgegeven.
- Doorgifte. Of de persoonsgegevens worden doorgegeven naar een land buiten de Europese Economische Ruimte, en als dat zo is, of dat wordt gedaan naar een land waarvoor een “adequaatheidsbesluit” is gegeven en/of dat gebeurt op basis van passende waarborgen (zie voor meer informatie hierover ons Factsheet Dataexport).
De betrokkenen moeten weten dat ze hun toestemming altijd weer in kunnen trekken.
- Bewaartermijnen. Hoe lang de persoonsgegevens worden bewaard of, als het niet mogelijk is om exacte bewaartermijnen te geven, de criteria om vast te stellen hoe lang de persoonsgegevens worden bewaard.
- Rechten betrokkenen. Dat de betrokken persoon het recht heeft uw organisatie te verzoeken om inzage van en rectificatie of (onder bepaalde voorwaarden) verwijdering van de persoonsgegevens, op beperking van de verwerking, het recht om tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid (kijk voor meer informatie in het Factsheet Verzoeken).
- Intrekken toestemming. Als de persoonsgegevens worden verwerkt op basis van de toestemming van de betrokken persoon, dat de betrokken persoon het recht heeft de toestemming weer in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan.
- Indienen klacht. Dat de betrokken personen een klacht kunnen indienen bij de Autoriteit Persoonsgegevens.
- Verplichte verstrekking. Of de verstrekking van de persoonsgegevens een wettelijke of contractuele verplichting is, dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokken personen verplicht zijn de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze persoonsgegevens niet worden verstrekt.
- Automatische besluitvorming, profiling. Of er gebruik wordt gemaakt van profilering en/of uitsluitend geautomatiseerde individuele beslissingen die rechtsgevolgen hebben of een andere aanzienlijke impact, wat de belangen en de gevolgen daarvan zijn voor de betrokken personen en nuttige informatie over de logica achter de beslissingen.
En, als de persoonsgegevens afkomstig zijn van een andere partij: - Welke persoonsgegevens. Om welke categorieën persoonsgegevens het gaat die van de andere partij zijn verkregen;
- Bron. Van welke bron (welke andere partij(en)) de persoonsgegevens afkomstig zijn.
Actiepunt: privacy-verklaringen updaten.
Maak zelf een privacyverklaring in onze webshop.