Academie Europa groot logo
  • 11 mei 2024
  • Laatste update 7 mei 2023 10:40 uur
  • Hannover

GDPR-conformiteit

Home - GDPR-conformiteit

Academy Europe bevestigt GDPR-compliance toe te passen onder de wet van de Europese Unie:

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

De Algemene Verordening Gegevensbescherming (AVG) is de strengste privacy- en beveiligingswet ter wereld. Hoewel het is opgesteld en aangenomen door de Europese Unie (EU), legt het overal verplichtingen op aan organisaties, zolang ze zich richten op of gegevens verzamelen over mensen in de EU. De verordening is op 25 mei 2018 van kracht geworden. De AVG zal zware boetes opleggen aan degenen die de privacy- en beveiligingsnormen schenden, met boetes die in de tientallen miljoenen euro's kunnen lopen.

GDPR.eu wordt u aangeboden als een nuttige bron om snel alle 99 artikelen en 173 overwegingen van de verordening te vinden, evenals handige gidsen en checklists die u uitleggen hoe de verordening op u van toepassing kan zijn.

https://gdpr.eu/tag/gdpr/

Transparantie en het publiek informeren over het gebruik van hun gegevens zijn twee basisdoelen van de AVG. Dit artikel legt uit wat een privacyverklaring is en biedt een sjabloon voor privacyverklaringen om u te helpen aan de wet te voldoen.

De Algemene Verordening Gegevensbescherming (AVG) van de EU is een eerste stap om EU-burgers en inwoners meer controle te geven over hoe hun gegevens door organisaties worden gebruikt. Als uw bedrijf de persoonlijke informatie van mensen in de EU verwerkt, dan moet u voldoen aan de AVG, waar ter wereld u zich ook bevindt. De boetes voor het schenden van de nieuwe privacyrechten van mensen kunnen oplopen tot 4 procent van uw wereldwijde omzet of € 20 miljoen, afhankelijk van wat hoger is.

Een AVG-privacyverklaring is een belangrijke manier om uw klanten te helpen weloverwogen beslissingen te nemen over de gegevens die u verzamelt en gebruikt. We hebben wat informatie uit de wet zelf en uit de EU-richtsnoeren verzameld om u te helpen de componenten van een goede privacyverklaring te begrijpen. En onderaan hebben we een sjabloon voor privacyverklaringen opgenomen die u kunt aanpassen aan uw eigen organisatie.

Wat is een privacyverklaring?

Een privacyverklaring is een openbaar document van een organisatie waarin wordt uitgelegd hoe die organisatie persoonsgegevens verwerkt en hoe zij de beginselen van gegevensbescherming toepast. Artikelen 1213 en 14 van de AVG bieden gedetailleerde instructies voor het opstellen van een privacyverklaring, waarbij de nadruk ligt op het begrijpelijk en toegankelijk maken ervan. Als u gegevens rechtstreeks van iemand verzamelt, moet u deze persoon op het moment dat u dat doet uw privacyverklaring verstrekken.

Merk op dat de termen "privacyverklaring" en "privacybeleid" niet echt voorkomen in de tekst van de AVG en in wezen uitwisselbaar zijn. De richtlijnen die in dit artikel worden uitgelegd, zijn van toepassing op alle openbare documenten waarin uw organisatie haar gegevensverwerkingsactiviteiten beschrijft aan klanten en het publiek.

Volgens de AVG moeten organisaties mensen voorzien van een privacyverklaring die:

  • In een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm
  • Geschreven in duidelijke en duidelijke taal, in het bijzonder voor alle informatie die specifiek aan een kind is gericht
  • Op tijd geleverd
  • Gratis geleverd

De AVG bepaalt ook welke informatie een organisatie moet delen in een privacyverklaring. Er is een kleine variatie in vereisten, afhankelijk van of een organisatie haar gegevens rechtstreeks van een persoon verzamelt of als een derde partij ontvangt.

Als een organisatie rechtstreeks informatie van een persoon verzamelt, moet ze de volgende informatie opnemen in haar privacyverklaring:

  • De identiteit en contactgegevens van de organisatie, haar vertegenwoordiger en haar functionaris voor gegevensbescherming
  • Het doel voor de organisatie om de persoonlijke gegevens van een persoon te verwerken en de wettelijke basis ervan
  • De gerechtvaardigde belangen van de organisatie (of derde partij, indien van toepassing)
  • Elke ontvanger of categorieën ontvangers van de gegevens van een persoon
  • De details met betrekking tot elke overdracht van persoonsgegevens naar een derde land en de genomen waarborgen
  • De bewaartermijn of criteria die worden gebruikt om de bewaartermijn van de gegevens te bepalen
  • Het bestaan ​​van de rechten van elke betrokkene
  • Het recht om toestemming op elk moment in te trekken (indien relevant)
  • Het recht om een ​​klacht in te dienen bij een toezichthoudende autoriteit
  • Of het verstrekken van persoonsgegevens onderdeel is van een wettelijke of contractuele verplichting of verplichting en de mogelijke gevolgen van het niet verstrekken van de persoonsgegevens
  • Het bestaan ​​van een geautomatiseerd besluitvormingssysteem inclusief profilering en informatie over hoe dit systeem is ingericht, de betekenis en de gevolgen

Als een organisatie uw gegevens indirect (via een andere organisatie) verkrijgt, moet haar privacyverklaring dezelfde informatie bevatten, behalve:

  • Of het verstrekken van persoonsgegevens onderdeel is van een wettelijke of contractuele verplichting of verplichting en de mogelijke gevolgen van het niet verstrekken van de persoonsgegevens

En in plaats daarvan moet toevoegen:

  • De categorieën van verkregen persoonsgegevens

Overeenkomstig artikel 14, lid 3, moet u, als u persoonsgegevens van een derde verkrijgt, de bovenstaande informatie aan de betrokkene meedelen: uiterlijk een maand nadat u de gegevens hebt verkregen, op het moment dat u voor het eerst met de gegevens communiceert onderwerp, of voordat u de gegevens deelt met een andere organisatie.

Over het algemeen zal een privacyverklaring schriftelijk worden verstrekt en, indien van toepassing, elektronisch worden verstrekt. Elke organisatie die een website onderhoudt, moet hun privacyverklaring daar publiceren, onder de titel 'Privacybeleid', en moet toegankelijk zijn via een directe link vanaf elke webpagina. Als een website online persoonlijke gegevens verzamelt, moet de privacyverklaring of een link ernaar worden verstrekt op dezelfde pagina waar de gegevensverzameling plaatsvindt. De AVG stelt ook dat privacyverklaringen op verzoek mondeling beschikbaar moeten zijn om begrip te waarborgen en slechtzienden te helpen.

Best practices voor AVG-privacyverklaring

Privacyverklaringen moeten het gebruik van kwalificaties zoals "misschien", "misschien", "sommige", "vaak", enz. vermijden, omdat ze opzettelijk vaag zijn. Het schrijven moet in de actieve tijd zijn en zinnen en alinea's moeten goed gestructureerd zijn, met behulp van opsommingstekens om specifieke aandachtspunten te markeren. Vermijd onnodig legalistische en technische terminologie.

Volgens de Europese Commissie GDPR-richtlijnen, zijn onderstaande zinnen niet voldoende duidelijk over de doeleinden van de verwerking. (We hebben deze voorbeelden rechtstreeks uit het document gehaald.)

  • "We kunnen uw persoonlijke gegevens gebruiken om nieuwe diensten te ontwikkelen" (omdat het onduidelijk is wat de "diensten" zijn of hoe de gegevens zullen helpen bij het ontwikkelen ervan)
  • “We kunnen uw persoonsgegevens gebruiken voor onderzoeksdoeleinden” (omdat het onduidelijk is naar wat voor soort “onderzoek” dit verwijst)
  • "We kunnen uw persoonlijke gegevens gebruiken om gepersonaliseerde diensten aan te bieden" (omdat het onduidelijk is wat de "personalisatie" inhoudt)
  • Aan de andere kant zijn dit soort zinnen veel beter:
    "We bewaren uw winkelgeschiedenis en gebruiken details van de producten die u eerder hebt gekocht om u suggesties te doen voor andere producten waarvan wij denken dat u hierin ook geïnteresseerd zult zijn" (het is duidelijk dat welke soorten gegevens zullen worden verwerkt, dat de betrokkene zal worden onderworpen aan gerichte advertenties voor producten en dat hun gegevens zullen worden gebruikt om dit mogelijk te maken)
  • "We bewaren en evalueren informatie over uw recente bezoeken aan onze website en hoe u zich door verschillende secties van onze website verplaatst voor analysedoeleinden om te begrijpen hoe mensen onze website gebruiken, zodat we deze intuïtiever kunnen maken" (het is duidelijk welk type gegevens worden verwerkt en het type analyse dat de verwerkingsverantwoordelijke gaat uitvoeren)
  • "We houden de artikelen op onze website bij waarop u hebt geklikt en gebruiken die informatie om u op deze website advertenties te richten die relevant zijn voor uw interesses, die we hebben geïdentificeerd op basis van artikelen die u hebt gelezen" (het is duidelijk is wat de personalisatie inhoudt en hoe de aan de betrokkene toegeschreven belangen zijn geïdentificeerd)