13 februari 2018 - Arnoud Engelfriet

Een van de meest genegeerde documenten op internet wordt eindelijk leesbaar. De privacyverklaring moet namelijk op de schop van de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei van kracht wordt. Deze nieuwe wet eist namelijk dat bij iedere verwerking van persoonsgegevens in duidelijke en begrijpelijke taal tekst en uitleg wordt gegeven. En dat betekent het einde van al die wollige juridische taal.

Een privacyverklaring is een juridische bijsluiter. Daarin kunnen mensen nalezen wat iemand gaat doen met hun persoonsgegevens en waarom, plus hoe deze worden beveiligd, wie er toegang toe heeft en hoe je je rechten van inzage, correctie en verwijdering kunt uitoefenen. Veel van deze informatie moet ook nu al gegeven worden, maar onder de huidige wetgeving worden er geen eisen gesteld aan de begrijpelijkheid van de inhoud.

Onder de AVG gaat dit veranderen. De wet eist expliciet dat zulke teksten duidelijk en begrijpelijk zijn, en op de doelgroep toegesneden. Die frase heeft namelijk een juridische betekenis, en wel dat de tekst moet voldoen aan het Europese Referentiekader Talen op niveau B1 of B2. Het moet dan gaan om eenvoudige en alledaagse taal, opgebouwd in een goede structuur waarbij weinig voorkomende termen door de context meteen duidelijk worden. 

Stel u wilt mensen informeren over uw nieuwsbrief, die voorzien is van zogeheten tracking codes waarmee u kijkt hoe veel mensen deze lezen en waar men op klikt. De oude manier van informeren zou zijn:

Met uw aparte toestemming ontvangt u onze wekelijkse nieuwsbrief over relevante actualiteiten. Deze is voorzien van tracking codes waarmee wij uw lees- en klikgedrag kunnen monitoren. Dit wordt uitsluitend in geaggregeerde vorm gebruikt om onze nieuwsbrief te optimaliseren.

Deze tekst is natuurlijk bepaald niet “duidelijk en begrijpelijk”. Onder de AVG zal dit dus zoiets moeten worden:

Je kunt je voor onze nieuwsbrief opgeven. We sturen je dan elke week nieuws per mail. In elk bericht zitten onzichtbare codes. Hiermee kunnen wij bijhouden hoe veel mensen onze nieuwsbrief lezen en op welke berichten mensen klikken. We kijken niet naar wat jij precies interessant vindt. Het gaat ons alleen om algemene informatie over onze nieuwsbrief, zodat we deze nog interessanter kunnen maken.

Controleren of uw tekst op B1/B2 niveau is, kan met de gratis Accessibility Leesniveau Tool.

Een privacyverklaring kan overigens niet worden gebruikt om toestemming te vragen. Toestemming moet immers expliciet en apart worden gevraagd, zo zagen we vorige week. De privacyverklaring kan dus alleen vermelden wat er gebeurt áls er toestemming wordt gegeven. 

Zelf een privacyverklaring maken die AVG-compliant is? Met de documentgenerator Privacyverklaring van JuriDox bent u binnen vijf minuten klaar voor slechts €45,-. Meer voorbeelden of structuur nodig? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt voor slechts €39,95. Een must voor iedere privacy professional.

De nieuwe Europese Algemene Verordening Gegevensbescherming is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens. Ook andere Europese landen hebben hun eigen privacywetgeving. Al deze wetgeving komt te vervallen; de AVG wordt vanaf 25 mei de énige privacywet, waar mensen zich direct op kunnen beroepen.

Inhoudelijk is de AVG vooral een kwestie van de touwtjes stevig aantrekken. De regels voor toestemming vragen voor verwerking van persoonsgegevens worden strenger, iedere verwerking moet op papier zijn uitgewerkt inclusief bewaartermijn en beveiligingskeuzes en er moet concreet beleid rond datalekken en security zijn. Dit alles op straffe van behoorlijk stevige boetes, waarover morgen meer.

Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder?

Een belangrijke vernieuwing zijn de verwerkingsregisters en datalekregisters. Deze registers maken deel uit van de verantwoordingsplicht die bedrijven en instellingen krijgen. In het verwerkingsregister moet ieder gebruik van persoonsgegevens zijn uitgewerkt (welke gegevens, waarom, hoe lang, hoe veilig), en het datalekregister moet inzicht bieden in dingen die misgingen (en hoe dat verbeterd gaat worden). Ook nieuw is de privacy impact assessment: een risicoanalyse van potentieel gevaarlijke verwerkingen, inclusief stappenplan om de risico’s te borgen. 

Als ik de AVG in één zin moet samenvatten, dan is dat het een compliancewet is. Documenteer wat u doet, en leg daar verantwoording over af. Laat zien dat u netjes werkt en rechtvaardig waarom het gepast is wat u wilt doen. De vraag zou bij de AVG ook niet moeten zijn, mag dit of dat nog, maar hoe leg ik vast dat ik kan doen wat ik wil.

Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.

terug naar het overzicht