Wat is het verschil tussen een privacyverklaring en een privacybeleid onder de AVG?

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 staat op veel websites van organisaties een verwijzing of een link naar hun privacyverklaring dan wel hun privacybeleid, of in de Engelse benaming: ‘privacy statement’ of ‘privacy policy’. Maar wat wordt nu precies met deze termen bedoeld onder de AVG?

De termen privacyverklaring en privacybeleid worden niet expliciet genoemd in de AVG. Maar de Autoriteit Persoonsgegevens (AP) maakt wel duidelijk onderscheid tussen deze twee termen. Welk onderscheid dit is, lees je in deze blog.

Privacyverklaring

De AP gebruikt de term privacyverklaring in het kader van de informatieplicht (artikel 12-14 AVG). Persoonsgegevens mogen alleen van een persoon (de betrokkene), bijvoorbeeld een bezoeker van een website of een klant, worden verwerkt wanneer voor hem of haar, onder andere, transparant is wat er met diens persoonsgegevens gebeurt (transparantiebeginsel). Dit betekent volgens artikel 12-14 AVG dat de verwerkingsverantwoordelijke verplicht is informatie te verschaffen aan betrokkenen over de gegevensverwerking. Hoewel voor deze informatieplicht geen vormvereiste is voorgeschreven, informeren verwerkingsverantwoordelijken de betrokkenen doorgaans via een privacyverklaring.

In de privacyverklaring moet in ieder geval het volgende staan:

• de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
• indien van toepassing; de contactgegevens van de FG;
• de verwerkingsdoeleinden en de rechtsgronden;
• de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6 lid 1, punt f AVG, is gebaseerd;
• indien van toepassing; de ontvangers of categorieën van ontvangers van de persoonsgegevens (dit zijn personen of organisaties aan wie de verwerkingsverantwoordelijke persoonsgegevens verstrekt, bijvoorbeeld een salarisadministratiekantoor, belastingdienst, clouddienst, etc.);
• indien van toepassing; dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie (zo ja, welke aanvullende maatregelen zijn getroffen);
• de bewaartermijn van de persoonsgegevens, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn;
• informatie omtrent de rechten van betrokkenen;
• wanneer de verwerking op toestemming is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken;
• dat de betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit;
• of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
• het bestaan van geautomatiseerde besluitvorming, en indien dit bestaat; nuttige informatie over de onderliggende logica, het belang en de verwachte gevolgen van die verwerking voor de betrokkene;
• alle overige informatie welke benodigd is om een transparantie verwerking te waarborgen (dit dient verwerkingsverantwoordelijke zelf vast te stellen).

Even belangrijk als de feitelijke inhoud van de privacyverklaring is dat de informatie duidelijk is (geen vage termen) en te onderscheiden moet zijn van andere niet-privacygerelateerde informatie (zoals contractbepalingen of algemene gebruiksvoorwaarden), begrijpelijk moet zijn voor een gemiddeld persoon uit de doelgroep (denk hierbij aan verschil tussen kinderen en beroepsprofessionals) en makkelijk vindbaar moet zijn. Hieraan kan bijvoorbeeld worden voldaan door een privacyverklaring prominent op de website te plaatsen en hiernaar te verwijzen, of bijvoorbeeld op de verpakking van een product of in het geval van applicaties/software in de app-store waar de app/software te downloaden is voordat het downloaden begint. Bij producten zonder scherm is het mogelijk naar de privacyverklaring te verwijzen op de verpakking van het product en/of de belangrijkste onderdelen te laten voorlezen.

Het niet voldoen aan deze informatieplicht wordt zwaar aangerekend: de verwerkingsverantwoordelijke kan door de AP worden gesanctioneerd met een boete van maximaal 20 miljoen of 4% van de wereldwijde jaaromzet, in het geval deze hoger is.

Privacybeleid

De term privacybeleid gebruikt de AP in het kader van artikel 24 AVG. Op grond van dit artikel is een verwerkingsverantwoordelijke verplicht maatregelen te treffen om aan te tonen dat wordt voldaan aan elk van de beginselen en vereisten zoals uiteengezet in de AVG: de zogenoemde ‘verantwoordingsplicht’ (accountability). Uit dit artikel volgt ook dat voor het in kaart brengen van de genomen maatregelen, de verwerkingsverantwoordelijke in bepaalde gevallen verplicht is om een gegevensbeschermingsbeleid, oftewel een privacybeleid op te stellen. Dit is in feite een nadere uitwerking van de verantwoordingsplicht. De verwerkingsverantwoordelijke is verplicht zo’n privacybeleid op te stellen als dat in verhouding staat tot de verwerkingsactiviteiten. Hierbij moet rekening gehouden worden met de aard, de omvang, de context en het doel van de gegevensverwerking. Dit is nogal vaag, enige guideline of opinie hierover van het Europees Comité voor de Gegevensbescherming ontbreekt nog. Wel geeft de AP Bloedbanken, IVF-klinieken en politieke partijen als voorbeelden van organisaties die verplicht een privacybeleid moeten hebben, omdat zij bijzondere persoonsgegevens (namelijk over gezondheid en politieke voorkeur) verwerken die goed beschermd moeten worden. Daarnaast moet volgens de AP gedacht worden aan organisaties die gevoelige gegevens verwerken, zoals financiële of strafrechtelijke gegevens.

Ook al is de verwerkingsverantwoordelijke niet verplicht om een privacybeleid te hebben, is het toch aan te raden om een privacybeleid op te stellen om te voldoen aan de verantwoordingsplicht. Zo kan immers aangetoond worden dat de organisatie voldoet aan de AVG. Dit is ook het advies van de AP (zie haar op 17 april jl. gepubliceerde rapport “Verkennend onderzoek Gegevensberschermingsbeleid”). Bovendien maakt een privacybeleid het mogelijk dat elke medewerker zijn of haar verantwoordelijkheid kent bij het verwerken van persoonsgegevens en erop attent is conform de vereisten van de AVG te werken. Het vermindert daarmee risico’s, zoals een datalek.

Anders dan de hiervoor besproken privacyverklaring, die gericht is aan betrokkenen (degenen wiens persoonsgegevens worden verwerkt), is een privacybeleid bedoeld voor de medewerkers als handleiding (voor degenen die binnen een organisatie met persoonsgegevens werken). Desondanks adviseert de AP het privacybeleid te publiceren om op die manier aan betrokkenen inzichtelijk te maken hoe de organisatie met persoonsgegevens omgaat. Of dat slim en noodzakelijk is, valt te betwijfelen. Immers, veelal zal het privacybeleid ook bedrijfsgevoelige informatie bevatten en bovendien worden betrokkenen via een privacyverklaring ten behoeve van de informatieplicht al geïnformeerd over de gegevensverwerking. 

Een tweede verschil in vergelijking met de privacyverklaring is dat de AVG niet precies aangeeft wat in een privacybeleid moet staan. Wij adviseren het volgende op te nemen in een privacybeleid:

• een introductie waarin o.a. wordt aangegeven waarom voldoen aan de privacyregeling binnen de organisatie belangrijk is;
• het doel en het toepassingsbereik van het privacybeleid;
• uitleg van begrippen (bijvoorbeeld persoonsgegevens, datalekken, doorgiftemechanisme);
• wat zijn de uitgangspunten/beginselen van de AVG en hoe wordt daarmee rekening gehouden;
• de door de AP in haar rapport van 17 april jl. genoemde drie ‘verplichte onderdelen’ van het gegevensbeschermingsbeleid (die overigens niet als zodanig staan vermeld in artikel 24 AVG):
  • een omschrijving van de (categorieën van) persoonsgegevens;
  • een beschrijving van de doeleinden van de gegevensverwerking;
  • een beschrijving van de rechten van betrokkenen;
• een beschrijving van de functies en verantwoordelijkheden, bijvoorbeeld op basis van het RAS(C)I-matrix;
• toezicht en handhaving (wie monitort het beleid, wat zijn de consequenties bij niet-naleving van het beleid).

In dit privacybeleid kan vervolgens gerefereerd of direct gelinkt worden naar de verschillende gegevensbeschermings- en privacy beleidsstukken, (bijvoorbeeld het beleid voor de rechten van betrokkenen, het datalek-, bewaartermijnen- en beveiligingsbeleid) die zijn ontworpen om privacy en gegevensbescherming in een organisatie te verankeren, zodat het privacybeleid-document een compleet beeld geeft van het beleid van de verwerkingsverantwoordelijke voor het beschermen van persoonsgegevens.

Het niet voldoen aan de verantwoordingsplicht kan door de AP worden gesanctioneerd met een boete van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, in het geval deze hoger is. Wie denkt dat de AP hier niet op controleert heeft het mis: eind vorig jaar heeft de AP bij 53 organisaties (bloedbanken, IVF-klinieken en politieke partijen van drie gemeenten) het privacybeleid opgevraagd om te beoordelen of het beleid voldoet aan de wettelijke eisen.

Inmiddels zijn de resultaten en aanbevelingen in het reeds hiervoor aangehaalde rapport van de AP d.d. 17 april jl. gepubliceerd: met name voor de bloedbanken en IVF-klinieken is er nog werk aan de winkel om hun privacybeleid conform de AVG in te richten.

Slot

Hoewel onder de AVG met de term privacyverklaring (privacy statement) in feite iets anders wordt bedoeld dan met de term privacybeleid (privacy policy), althans volgens de AP, is in de praktijk het onderscheid tussen deze termen nog ver te zoeken. In principe is dit geen ramp en niet fout, mits de verwerkingsverantwoordelijke maar op de juiste manier aan zijn informatieplicht (artikel 12-14 AVG) en verantwoordingsplicht (artikel 24 AVG) voldoet en niet bijvoorbeeld zijn privacybeleid ten behoeve van zijn verantwoordingsplicht op de website zet en daarmee denkt ook te hebben voldaan aan zijn informatieplicht aan de betrokkenen. Het zou zonde zijn als verwarring van deze termen leidt tot het niet voldoen aan de AVG. Zeker nu de AP heeft laten zien te controleren op het privacybeleid en in haar Jaarverslag “2018 mijlpaal voor privacybescherming” heeft aangekondigd zich in 2019 meer te richten op handhaving.

Wilt u hulp bij het opstellen van een privacyverklaring of van een privacybeleid, neem dan gerust contact met ons op.