Verschil tussen een privacyverklaring en een verwerkersovereenkomst
Op basis van de Algemene verordening gegevensbescherming (AVG) is het verplicht om als ICT-dienstverlener op de eigen website betrokkenen te informeren over de verwerking van hun persoonsgegevens. In deze blog worden een aantal onderwerpen uitgelicht die verplicht zijn om op te nemen in een privacyverklaring. De partij die de persoonsgegevens verzameld en hierbij het doel van de verwerking vaststelt, oftewel waarvoor de persoonsgegevens gebruikt worden, is de verwerkingsverantwoordelijke. De persoon van wie de persoonsgegevens verzameld worden wordt de betrokkene genoemd. De verwerkingsverantwoordelijke heeft de verplichting op basis van de AVG om de betrokkene(n) te informeren over de verwerking van de persoonsgegevens. De privacyverklaring is een statement richting de betrokkene. De verwerkersovereenkomst is een overeenkomst die wordt aangegaan tussen de verwerkingsverantwoordelijke en de verwerker waarin afspraken worden vastgelegd onder welke voorwaarden de persoonsgegevens verwerkt worden.
Wanneer een privacyverklaring?
Het moet voor de betrokkenen duidelijk zijn welke en wat voor soort persoonsgegevens er verzameld worden en dit moet worden uitgelegd in de privacyverklaring. Denk hierbij de categorie contactgegevens waarvoor een e-mailadres en een telefoonnummer verzameld worden. Het is belangrijk dat bij het verzamelen van de persoonsgegevens er rekening wordt gehouden met het principe van privacy by design. Dit houdt in dat de verwerkingsverantwoordelijke bij het ontwikkelen van de dienst al rekening moet houden met het feit dat er niet meer persoonsgegevens verzameld worden dan noodzakelijk. Zo is het bijvoorbeeld voor een webshop niet nodig om een geboortedatum op te vragen voor een bestelling van de klant. Daarentegen zijn een naam en een adres dan wel weer noodzakelijk om te verzamelen.
De ingeschakelde verwerkers
Indien een verwerkinsgverantwoordelijke derde partijen nodig heeft om de dienst te kunnen leveren, kunnen deze derden worden ingeschakeld als verwerkers. Denk hierbij bijvoorbeeld aan bedrijf dat de hosting van de dienst verzorgt of een betalingsdienstverlener die de afhandeling van online betalingen op zich heeft genomen. Indien er verwerkers worden ingeschakeld worden voor de verwerking van de persoonsgegevens dan is de verwerkingsverantwoordelijke verplicht dit op te nemen in de privacyverklaring zodat de betrokkene hierover geïnformeerd is.
Rechten van betrokkenen
De betrokkene heeft op basis van de AVG een aantal rechten ten aanzien van de verwerking van de persoonsgegevens zoals het recht van inzage, correctie en het recht op verwijdering. De privacyverklaring moet aan de betrokkene duidelijk maken welke rechten er van toepassing zijn en hoe deze uitgeoefend kunnen worden. Het is wel aan te raden dat de verwerkingsverantwoordelijke de technische maatregelen heeft genomen om de rechten ook daadwerkelijk mogelijk te maken. Vaak wordt er verwezen naar de accountgegevens die de betrokkene zelf kan inzien of wijzigen. Dit is alleen vaak niet genoeg op basis van de AVG aangezien via deze gegevens niet alle rechten van de betrokkene kunnen worden uitgeoefend. Zo zijn de logbestanden waarin is opgenomen wanneer en waar er is ingelogd niet zichtbar in de accountgegevens.
Cookies en tracking
Een belangrijk onderdeel van de privacyverklaring is de bepaling die de betrokkene vertelt of en hoe er gebruik wordt gemaakt van cookies. De privacyverklaring wordt daarom ook wel de privacy- en cookieverklaring genoemd. Hoe uitgebreid de privacyverklaring een omschrijving bevat over de cookies die worden geplaatst, ligt helemaal aan hoeveel cookies de dienst of website bevat. De verwerkingsverantwoordelijke moet in de privacyverklaring duidelijk maken welke cookies er geplaatst worden en indien het niet gaat om analytische cookies er toestemming wordt gevraagd aan de betrokkene via bijvoorbeeld een cookiebanner. Ideaal zou zijn als er een schema wordt opgenomen van de verschillende cookies met daarbij een beschrijving waarom deze cookie wordt geplaatst en waar er informatie te vinden is over de specifieke werking van de cookie.
Wat nog meer in de privacyverklaring?
Andere onderwerpen die ook in de privacyverklaring moeten worden opgenomen zijn een omschrijving van de manier waarop de persoonsgegevens verzameld worden, of er sprake is van het versturen van nieuwsbrieven en de mogelijkheid om een klacht in te dienen over de verwerking van de persoonsgegevens. Samenvattend komt het erop neer dat een privacyverklaring alle informatie moet bevatten zodat het voor de betrokkene duidelijk is op welke wijze de verwerkingsverantwoordelijke de persoonsgegevens verwerkt en dit handvatten biedt om hier bijvoorbeeld bezwaar tegen te maken of om meer informatie op te vragen.