Als (startende) ondernemer krijg je al snel te maken met verschillende juridische verplichtingen. En om direct maar met de deur in huis te vallen en antwoord te geven op de vraag in de titel: in vrijwel alle gevallen is een privacyverklaring voor ondernemers verplicht. Deze verplichting volgt uit de Algemene Verordening Gegevensbescherming (hierna: AVG).
Zodra je als ondernemer persoonsgegevens verwerkt, ben je verplicht om daar transparant over te zijn en dat doe je met een privacyverklaring. In deze blog leg ik uit wat een privacyverklaring is, wanneer je wel of geen privacyverklaring nodig hebt, wat er in een privacyverklaring moet staan en welke fouten ik vaak voorbij zie komen.
Wat is een privacyverklaring?
Een privacyverklaring is een document waarin je uitlegt hoe je omgaat met persoonsgegevens. Denk aan gegevens zoals namen, e-mailadressen, telefoonnummers of IP-adressen. Het draait hierbij om transparantie, zodat voor betrokkenen duidelijk is wat er met hun gegevens gebeurt.
Wanneer heb je een privacyverklaring nodig?
Je hebt een privacyverklaring nodig zodra je persoonsgegevens verwerkt. Dat is al sneller het geval dan veel ondernemers denken.
Heb je een website met een contactformulier of maak je gebruik van een tool zoals Google Analytics, dan verzamel je al persoonsgegevens. Werk je met klanten en sla je hun gegevens op in je administratie, dan verwerk je persoonsgegevens. Ook wanneer je personeel hebt is er sprake van verwerking van personeelsgegevens. In al deze gevallen is een privacyverklaring verplicht.
Wanneer heb je geen privacyverklaring nodig?
In theorie heb je geen privacyverklaring nodig als je helemaal geen persoonsgegevens verwerkt. In de praktijk komt dit echter zelden voor. Zelfs bij beperkt contact met klanten, bijvoorbeeld via een e-mail, verwerk je al persoonsgegevens. Daarom geldt in de meeste gevallen dat een privacyverklaring voor ondernemers noodzakelijk is.
Wat moet er in een privacyverklaring staan?
Een privacyverklaring moet voldoen aan de eisen van de AVG en inhoudelijk aansluiten op jouw onderneming. Het gaat er niet alleen om dat je uitlegt wat je doet, maar ook dat dit juridisch klopt.
In de privacyverklaring leg je uit welke persoonsgegevens je verwerkt en voor welke doeleinden. Daarnaast beschrijf je hoe lang je deze gegevens bewaart, met welke partijen je gegevens deelt en welke rechten betrokkenen hebben. Ook moet duidelijk zijn hoe iemand deze rechten kan uitoefenen en hoe er contact kan worden opgenomen met vragen over privacy.
Een essentieel onderdeel van de privacyverklaring is de rechtsgrond van de verwerking. Je mag persoonsgegevens namelijk alleen verwerken als daar een geldige juridische basis voor is. In de praktijk gaat het meestal om één van de vier belangrijkste rechtsgronden: toestemming, de noodzaak voor de uitvoering van een overeenkomst, een wettelijke verplichting of een gerechtvaardigd belang. Het is daarbij belangrijk dat je per verwerking goed onderbouwt welke rechtsgrond je gebruikt en dat deze keuze ook daadwerkelijk aansluit bij jouw werkwijze.
Veelgemaakte fouten
In de praktijk zie ik dat privacyverklaringen vaak niet goed zijn afgestemd op de onderneming. Zo worden er regelmatig teksten gekopieerd van andere websites of worden standaard templates gebruikt zonder deze aan te passen aan de eigen situatie.
Ook komt het voor dat de inhoud niet overeenkomt met de werkelijkheid, bijvoorbeeld doordat verwerkingen ontbreken of onjuist worden beschreven. Dit maakt de privacyverklaring niet alleen onduidelijk, maar het brengt ook juridische risico’s met zich mee. Deze risico’s kunnen klachten van betrokkenen zijn, maar ook handhaving door de Autoriteit Persoonsgegevens en in sommige gevallen zelfs boetes of aansprakelijkheid bij schade.
Hulp nodig met jouw privacyverklaring?
Twijfel je of jouw privacyverklaring voldoet aan de AVG? Of wil je zeker weten dat alles juridisch goed geregeld is? Ik help je graag en kan jouw privacyverklaring controleren met mijn Legal scan of een privacyverklaring volledig op maat voor je opstellen. Zo weet je zeker dat je voldoet aan de AVG.
Auteur: mr. Chantal Haverkamp