Alles wat jij moet weten over de Privacyverklaring
De GDPR gaat over 57 dagen in en wij zijn druk bezig de puntjes op de i te zetten. Onderdeel daarvan is de Privacyverklaring. In dit artikel geven we tips voor het schrijven van je nieuwe Privacyverklaring.
Als Verwerkingsverantwoordelijke vraag jij de kandidaat (de betrokkene) specifiek om toestemming. Deze toestemming wordt gegeven voor alle activiteiten die jij met de gedeelde gegevens wilt ondernemen. Onder de Wet Bescherming Persoonsgegevens was algemene toestemming voldoende. Onder de GDPR zijn er 11 punten waaraan jouw Privacyverklaring moet voldoen. Charlotte Meindersma heeft bij Frankwatching in onderstaande video keurig uiteengezet welke punten dit zijn. Na de video zetten we ze op een rijtje voor je.
Duidelijke taal
Beknopt, begrijpelijk en toegankelijk. Iedereen die toestemming moet geven, moet het kunnen begrijpen.
Tenaamstelling
Je maakt jezelf bekend als degene die vraagt om de toestemming. Je bent de belanghebbende en je stelt jezelf dus even netjes voor.
Doel van de te verzamelen gegevens
Waarom wil jij gegevens verzamelen? Wat wil je ermee gaan doen? Je beschrijft kort, bondig en volledig met welk doel je de gegevens verwerkt. Je mag dit nog wel ruim beschrijven: ‘alle activiteiten rondom arbeidsbemiddeling’ of ‘communicatie tussen verschillende partijen ten behoeve van de arbeidsbemiddeling’.
Beschrijving van de gegevens
Onder de GDPR moet jij een duidelijk beeld hebben van de gegevens die jij verwerkt. In het kader van transparantie heb je voor de betrokkene een overzicht beschikbaar van de gegevens die je verwerkt.
Wie gaat er mee werken?
Elke partij waar jij mee samenwerkt voor het verwerken van de gegevens van betrokkene moet inzichtelijk zijn voor de betrokkene. Dit mag ook een overzicht zijn op bijvoorbeeld je website waarnaar verwezen wordt.
Termijnen
Je geeft in het Privacyverklaring aan hoe lang de toestemming geldt. In bepaalde gevallen weet je niet hoe lang het zal zijn. Een kandidaat kan bijvoorbeeld opgenomen willen worden in een mailinglijst met de laatste vacatures. Dan weet je niet hoe lang je de gegevens zult gebruiken. Op zo’n moment volstaat het door aan te geven dat je de gegevens gedurende de inschrijving gebruikt.
Aangeven dat de rechthebbende mag wijzigen inzien en verwijderen.
De betrokkene krijgt in de GDPR meer rechten. Daar dien je hem of haar aan te herinneren in de Privacyverklaring. De betrokkene mag de gegevens inzien, rectificeren, verwijderen of overdragen aan een andere partij.
Gerechtvaardigd doel vs. bezwaar bij verwijdering
Zoals gezegd heeft de betrokkene het recht zijn of haar gegevens te laten verwijderen. Wanneer jij een gerechtvaardigd doel hebt de gegevens wel te bewaren (door een fiscaal-administratieve plicht, bijvoorbeeld), hoef jij aan dit bezwaar geen gehoor aan te geven. Dit benoem je ook in je Privacyverklaring.
Klagen bij Autoriteit Persoonsgegevens
In je Privacyverklaring geef je aan bij wie de betrokkene terecht kan met klachten. Dit is uiteraard de Autoriteit Persoonsgegevens.
Geen contract
Je geeft duidelijk aan of er sprake is van een contract. In het geval van kandidaten zal hiervan geen sprake zijn. Toch moet je dit specifiek benoemen. Het verlenen van toestemming kan een voorwaarde zijn voor het gebruik maken van de dienstverlening.
Geautomatiseerde besluitvorming
Wanneer je gebruik maakt van geautomatiseerde besluitvorming moet je dit vermelden en aangeven hoe dit van invloed is.
Toestemming gegeven
Als de betrokkene akkoord gaat met de Privacyverklaring, moet dit opgeslagen worden. Je moet er voor zorgen dat de versie en het moment van akkoord terug gevonden kunnen worden. Dit verwerk je op enigerlei schriftelijke wijze in je administratie. Eventueel geef je nog meer informatie in je Privacyverklaring over de Data Protection Officer of Functionaris Persoonsgegevens.
Een goede Privacyverklaring is dus niet langer eenvoudig op te stellen. Neem de tijd om alle facetten goed uit te werken en laat je niet verleiden te complexe termen te gebruiken.