Menu
De Groote – De Man

Maak een bestseller van je privacystatement

GDPR
8 juni 2018

Hoe ziet jouw privacystatement eruit? Droger dan de Sahara?
Zo maak je er als marketeer een bestseller van!

Privacystatement: hoe pak je het aan als marketeer?

Met de nieuwe privacywetgeving, alias GDPR, in werking heb jij hopelijk ook een privacystatement opgesteld. Check? Goed zo!
Maar bevat het zeker ook alle elementen die nodig zijn in ’the world after GDPR’? Je kan het altijd nakijken door artikel 12, 13 en 14 van de GDPR te doorploegen. Of je kan je verklaring gewoon afchecken met onze samenvatting hieronder.

Check 1: Begrijpelijke, duidelijke en eenvoudige taal

Je wordt verondersteld passende maatregelen te nemen om je privacyverklaring begrijpelijk en toegankelijk te maken. De informatie die je aan de bezoekers van je website verstrekt over de manier waarop je hun persoonsgegevens verwerkt, dient bovendien beknopt, transparant, begrijpelijk, in duidelijke en eenvoudige taal te zijn (in het bijzonder wanneer de informatie specifiek voor een kind bestemd is) en gratis.

Ok, ok… Geef toe dat je er al even aan dacht om te stoppen met lezen. Je was zeker al van plan om dit artikel door te sturen naar je juridische dienst zodat zij het verder konden afhandelen.

Maar copywriting behoort helaas niet noodzakelijk tot het takenpakket van juristen, en aangezien er wel degelijk staat dat je privacyverklaring begrijpelijk moet zijn en opgesteld in duidelijke en eenvoudige taal (en in het geval van minderjarigen afgestemd op hun leeftijdscategorie), wordt er hiervoor toch echt wel naar de  marketing- en communicatieafdeling gekeken.

Bedankt om dus nog even verder te lezen! Wie weet maak je hierna wel kans te maken om je privacyverklaring op de lijst met nieuwe bestsellers te krijgen (en dan liefst niet in de categorie ‘horror’ of ‘sciencefiction’).

Hieronder vind je alvast een lijst met informatie die beschikbaar moet zijn op het moment dat je persoonsgegevens verzamelt. Vergeet dus ook niet om een link te plaatsen naar je privacybeleid telkens je om gegevens vraagt!

Check 2: de essentials

Als je begint te (her)schrijven aan je privacyverklaring, zorg er dan voor dat ze de onderstaande elementen bevat:

  • Je contactgegevens als verwerkingsverantwoordelijke en die van je functionaris voor gegevensbescherming (indien je bedrijf zo’n “data protection officer” nodig heeft).
  • Voor welke doeleinden de persoonsgegevens worden verwerkt en wat daarvoor de wettelijke basis is. Wees hierbij voldoende nauwkeurig! Het is geen goed idee om voor alles  gerechtvaardigd belang in te roepen. Heb je goed nagedacht over welke gegevens je vraagt, waarom je dat doet, en is dat beschreven op een manier die elke consument duidelijk maakt waarom je erom vraagt? En als je de toestemming van de betrokkene, de zogenaamde consent,  als wettelijke basis hanteert, vergeet dan niet dat die toestemming door middel van een duidelijke actieve handeling, vrijelijk, specifiek, geïnformeerd en ondubbelzinnig moet worden gegeven.
  • Gebruik je als wettelijke basis een wettelijke of contractuele verplichting is, dan moet je ook uitleggen wat de mogelijke gevolgen zijn wanneer als mensen deze gegevens niet willen geven.

Stop.

Hammertime.

En we gaan weer verder…

  • Aan wie geef je de gegevens door? Is die lijst zo nauwkeurig mogelijk beschreven? Zet maar al een dikke streep door zinnen zoals: “Uw gegevens worden gedeeld met onze partners”. Je hebt een lijst nodig met ontvangers, ofwel een lijst categorieën van ontvangers.
  • Als je gegevens doorgeeft aan een partij buiten de Europese Unie, dan moet je zelfs nóg meer details geven: welke gegevens worden er doorgegeven, aan wie, en welke maatregelen neem je om ervoor te zorgen dat ze beveiligd blijven?
  • Hoe lang ben je van plan om de gegevens te bewaren? Als je dat nog niet exact weet, zeg dan zeker welke criteria jullie gebruiken om de bewaartermijn te bepalen.
  • Herhaal alle rechten waarover de individuen beschikken in verband met de verwerking van hun persoonsgegevens. Heb je er ook bijgezet wat je doet om ervoor te zorgen dat je die rechten respecteert?
  • Is het duidelijk voor iedereen dat personen op elk moment hun toestemming kunnen intrekken (indien van toepassing)?
  • Heb je vermeld dat ze altijd het recht hebben om een klacht in te dienen bij de toezichthoudende autoriteit? Als je dit nog moet toevoegen: in België is dat de Gegevensbeschermingsautoriteit (GBA), de vroegere privacycommissie.
  • Is er sprake van profilering of een andere vorm van geautomatiseerde besluitvorming? Je raadt het al: dan moet je dat ook duidelijk vermelden én uitleggen hoe die besluitvorming werkt.

Check 3: Persoonsgegevens van derden

Vermeld ook hoe je omgaat met gegevens die je niet zelf rechtstreeks hebt verkregen.  De bovenstaande lijst  blijft van toepassing, maar je moet er minstens deze twee elementen aan toevoegen:

  1. de categorie(ën) van persoonsgegevens waarover het gaat;
  2. de bron waar de persoonsgegevens vandaan komen, en of ze afkomstig zijn van openbare bronnen

Check 4: Wanneer?

En dan het moeilijkste punt… wanneer moet je die informatie verstrekken?  Uiterlijk binnen de maand nadat je de gegevens hebt verkregen? Of wanneer je de gegevens gebruikt om met de persoon zelf te communiceren?  Of op het moment dat de eerste communicatie plaatsvindt?
Als je de gegevens wilt doorgeven buiten je bedrijf, dan moet je de individuen wiens gegevens je gebruikt daar vooraf van op de hoogte brengen.

Dit houdt in dat je voor gegevens van derden dus niet langer kunt doen alsof het jouw probleem niet is op welke manier de gegevens werden verkregen, en of dat wel op een legale manier is gebeurd. Dit is dus een gedeelde verantwoordelijkheid geworden.

Wat doet de rest?

Uiteraard is het niet verboden om ergens anders inspiratie op te doen voor een goede privacystatement.  Er zijn op het internet inmiddels al voldoende voorbeelden te vinden van privacyverklaringen die wel degelijk vlot leesbaar, duidelijk en begrijpelijk zijn.

De Britse krant The Guardian is hiervan een goed voorbeeld.

Let op, het gaat wel degelijk om inspiratie, geen copy paste!

Tekst: The House Of Marketing en Ingrid De Poorter 

Heb je hulp nodig met je privacystatement of andere specifieke issues ivm GDPR?

Wij helpen je graag verder met ons advies op maat!

Ook interessant

Meer weten over wat er gebeurd sinds de GDPR op 25 mei 2018 van kracht ging?

Geschreven door

Ingrid De Poorter

Ingrid De Poorter is Managing Partner en heeft de leiding over de afdelingen Data, Tech & Entertainment en Ondernemingsrecht.