Privacyverklaring maken: wat moet erin en hoe pak je het aan?
Een privacyverklaring is de manier waarop je open bent over wat je met persoonsgegevens doet, en die transparantie is een kernverplichting van de AVG. Toch hebben veel MKB-bedrijven geen privacyverklaring, een verouderde, of een gekopieerd exemplaar dat niet bij hun werkelijke praktijk past. Dat laatste is misschien wel het gevaarlijkst: een verklaring die mooi klinkt maar niet klopt met wat je werkelijk doet, geeft schijnzekerheid en kan juist tegen je werken.
In dit artikel lees je wat een privacyverklaring is, wat erin hoort, en hoe je er een maakt die werkelijk bij jouw bedrijf past. Belangrijk vooraf: dit artikel geeft algemene uitleg, geen juridisch advies. Voor een verklaring die juridisch sluitend is, zeker bij complexere of gevoelige verwerkingen, is het verstandig een deskundige te laten meekijken. Dit artikel helpt je begrijpen waar het om gaat en goed voorbereid het gesprek in te gaan.
Wat een privacyverklaring is
Een privacyverklaring (ook wel privacy statement of privacybeleid genoemd) is een document waarin je uitlegt welke persoonsgegevens je verwerkt, waarom, en hoe je daarmee omgaat. Het is jouw manier om te voldoen aan de transparantieplicht van de AVG: mensen hebben er recht op te weten wat er met hun gegevens gebeurt.
Je publiceert de privacyverklaring doorgaans op je website, zodat klanten, websitebezoekers, sollicitanten en anderen hem kunnen vinden. Het is geen contract en geen toestemmingsformulier, maar informatie: je vertelt wat je doet, in begrijpelijke taal.
Wat erin hoort
Een goede privacyverklaring beantwoordt een aantal vaste vragen over hoe je met persoonsgegevens omgaat. In grote lijnen hoort het volgende erin:
Wie je bent. De identiteit en contactgegevens van je bedrijf, zodat mensen weten wie verantwoordelijk is.
Welke gegevens je verwerkt. Welke persoonsgegevens je verzamelt, bijvoorbeeld naam, e-mailadres, of klantgegevens.
Waarom je ze verwerkt. De doelen waarvoor je de gegevens gebruikt, en de grondslag (de geldige reden) daarvoor.
Hoe lang je ze bewaart. De bewaartermijnen, of de criteria waarmee je die bepaalt. Zie Persoonsgegevens bewaren.
Met wie je ze deelt. Of en met welke partijen je gegevens deelt, bijvoorbeeld leveranciers die voor jou verwerken.
Welke rechten mensen hebben. De rechten die betrokkenen hebben rond hun gegevens, en hoe ze die kunnen uitoefenen.
Hoe mensen contact kunnen opnemen. Waar iemand terechtkan met vragen of een verzoek over zijn gegevens.
Hoe je er een maakt die klopt
De grootste fout bij privacyverklaringen is een willekeurig voorbeeld kopiëren zonder het aan je eigen praktijk aan te passen. Een privacyverklaring moet jouw werkelijke situatie beschrijven, niet die van een ander. Een aanpak die wel werkt:
Begin bij je eigen praktijk. Voordat je iets opschrijft, breng je in kaart welke persoonsgegevens je werkelijk verwerkt, waarvoor, hoe lang en met wie je ze deelt. Dit is dezelfde inventarisatie die je voor de hele AVG nodig hebt. Zonder dit overzicht kun je geen kloppende verklaring maken.
Gebruik een betrouwbaar startpunt, maar pas het aan. Een goed model of een hulpmiddel van een betrouwbare bron kan een handig startpunt zijn, mits je het invult met jouw werkelijke gegevens en situatie. Het model is het geraamte, jouw praktijk is de inhoud.
Schrijf in begrijpelijke taal. De AVG vraagt om heldere, toegankelijke taal. Een verklaring vol juridisch jargon dat niemand begrijpt, voldoet niet aan de geest van de wet. Schrijf zo dat een gewone bezoeker het snapt.
Houd hem actueel. Je praktijk verandert, en je verklaring moet meeveranderen. Een verklaring van jaren geleden die niet meer klopt, is een risico. Herzie hem periodiek en bij belangrijke wijzigingen.
Laat hem bij twijfel controleren. Bij complexere of gevoelige verwerkingen is het verstandig een privacydeskundige te laten meekijken, zodat de verklaring juridisch sluitend is en bij je praktijk past.
De valkuilen
Een verklaring die niet klopt met je praktijk. De grootste valkuil. Een gekopieerde verklaring die dingen belooft die je niet doet, of die je werkelijke verwerkingen niet dekt, geeft schijnzekerheid. Zorg dat hij je echte situatie beschrijft.
Onbegrijpelijk jargon. Een verklaring die niemand begrijpt, voldoet niet aan de transparantieplicht. Helder en toegankelijk is de norm.
Verouderde informatie. Een verklaring die niet is bijgewerkt terwijl je praktijk veranderde, klopt niet meer. Houd hem actueel.
Hem onvindbaar maken. Een privacyverklaring die nergens te vinden is, doet zijn werk niet. Zorg dat hij makkelijk vindbaar is, doorgaans via je website.
Veelgestelde vragen
Is een privacyverklaring verplicht?
Ja, in de praktijk wel. De AVG verplicht je om transparant te zijn over wat je met persoonsgegevens doet, en een privacyverklaring is de gangbare manier om aan die informatieplicht te voldoen. Vrijwel elk bedrijf dat persoonsgegevens verwerkt, en dat zijn de meeste, heeft er dus een nodig. De verklaring moet wel je werkelijke praktijk beschrijven, niet een gekopieerd algemeen voorbeeld.
Wat moet er in een privacyverklaring staan?
In grote lijnen: wie je bent en hoe je te bereiken bent, welke persoonsgegevens je verwerkt, waarom en op welke grondslag, hoe lang je ze bewaart, met wie je ze deelt, welke rechten betrokkenen hebben en hoe ze die kunnen uitoefenen, en waar ze met vragen terechtkunnen. Het geheel moet in begrijpelijke taal jouw werkelijke omgang met persoonsgegevens beschrijven.
Mag ik een voorbeeld-privacyverklaring kopiëren?
Een betrouwbaar model kan een handig startpunt zijn, maar nooit klakkeloos gekopieerd. De grootste fout is een willekeurig voorbeeld overnemen dat niet bij je eigen praktijk past. Een privacyverklaring moet jouw werkelijke situatie beschrijven: welke gegevens jij verwerkt, waarvoor en met wie je ze deelt. Gebruik het model als geraamte en vul het met je eigen praktijk.
Hoe vaak moet ik mijn privacyverklaring bijwerken?
Zodra je praktijk verandert en verder periodiek. Verzamel je nieuwe soorten gegevens, gebruik je nieuwe leveranciers, of verander je waarvoor je gegevens gebruikt, dan moet de verklaring mee. Een verklaring die niet meer klopt met wat je werkelijk doet, is een risico. Plan een periodieke controle, bijvoorbeeld jaarlijks, en werk hem bij na elke belangrijke wijziging.
Is dit juridisch advies?
Nee. Dit artikel geeft algemene uitleg om je te helpen begrijpen wat een privacyverklaring is en wat erin hoort, geen juridisch advies. Voor een verklaring die juridisch sluitend is, zeker bij complexere of gevoelige verwerkingen, is het verstandig een privacydeskundige te laten meekijken. Gebruik dit artikel om goed voorbereid en met de juiste vragen het gesprek of het opstellen in te gaan.
---