De Algemene Verordening Gegevensbescherming (AVG / GDPR) ) legt belangrijke informatieverplichtingen op aan ondernemingen. Uw privacy policy moet alle vereiste informatie bevatten en moet tijdig ter kennis worden gebracht aan de persoon wiens gegevens u verwerkt (klanten, leveranciers, personeel, etc.). In een vorige bijdrage lichtte ik toe op welk tijdstip u dit moet doen: ‘Wanneer moet ik mijn privacy policy ter kennis brengen?‘ . In huidig blogbericht ga ik dieper in op de wijze waarop u uw privacy policy moet communiceren.

De wetgeving bepaalt dat u uw privacybeleid schriftelijk moet meedelen of met andere middelen (waaronder elektronische middelen). Er wordt echter geen specifieke vorm voorgeschreven. Verder wordt ook niet gespecifieerd wat onder “andere middelen” moet worden begrepen. Er zijn dus verschillende opties denkbaar. U mag als onderneming hiermee creatief aan de slag gaan, doch met dien verstande dat de informatie steeds kosteloos moeten worden overgemaakt. Bovendien moet u er voor zorgen dat de gekozen vorm passend is voor de concrete omstandigheden, zodat de informatie vlot toegankelijk is en duidelijk.

Hieronder licht ik een aantal belangrijke principes toe.

Gemakkelijk raadpleegbaar

Het moet voor de betrokkene duidelijk zijn hoe hij de informatie kan raadplegen. In een digitale context kan er bijvoorbeeld gewerkt worden met een duidelijke link naar de privacy policy, met een pop-upvenster of privacydashboard. De gekozen methode moet passend zijn voor de manier waarop u met de betrokkene in contact staat.

Indien u als onderneming een website heeft, voorziet u best op elke pagina (bv. in de footer) een rechtstreekse link naar uw privacy policy, zodat de betrokkene dit ten allen tijde kan raadplegen. Bovendien is het aangeraden om te werken met een gelaagde privacy policy zodat de betrokkene direct naar het specifieke onderdeel van uw privacy policy die hij wenst te lezen, kan navigeren. Voorzie echter ook steeds de mogelijkheid om de privacy policy in zijn geheel te bekijken of te downloaden.

Ook bij apps moet de betrokkene – voor het downloaden begint – kennis krijgen van de privacy policy. Eénmaal geïnstalleerd dient de betrokken informatie steeds raadpleegbaar te blijven (bv. door een link te voorzien in het gebruikersmenu).

Afgescheiden van andere informatie

De informatie moet duidelijk afgescheiden zijn van niet-privacygerelateerde informatie, zoals bijvoorbeeld algemene voorwaarden of andere contractuele bepalingen. Kies voor een afzonderlijke en duidelijk gestructureerde tekst, zodat er bij betrokkene geen twijfel over kan bestaan dat dit de informatie betreft die hij moet verkrijgen in uitvoering van de AVG / GDPR.

Duidelijke taal (en de juiste taal)

Zorg ervoor dat de informatie duidelijk leesbaar is (bv. geen te klein of onduidelijk lettertype). Indien u zich richt tot een persoon in een andere taal, moet u uw privacy policy verstrekken in de taal waarin u communiceert met deze persoon (minstens in een taal die hij begrijpt).

Mondeling?

De informatie kan ook mondeling worden verstrekt als de betrokkene er om verzoekt.

Het mondeling verstrekken van informatie is bovendien ten zeerste aangewezen als het gaat om personen met een visuele handicap. Deze personen moeten daarbij ook de mogelijkheid krijgen om gesproken boodschappen later opnieuw te beluisteren.

Indien het gaat om een persoon die zijn rechten wenst uit te oefenen (vb. verzoek om verbetering van zijn persoonsgegevens, wissing, etc.), moet – alvorens de informatie wordt medegedeeld – de identiteit van de betrokkene worden geverifieerd. Men moet immers zeker zijn dat men de juiste persoon van dienst is. Voor algemene informatie (doeleinden, rechtsgrond, bewaartermijnen, etc.) is deze verificatie niet vereist.

Verantwoordingsplicht

Welk communicatiemiddel u ook gebruikt, denk er echter aan dat u een verantwoordingsplicht hebt. Als een betrokken persoon zou betwisten dat hij kennis heeft genomen (of kon nemen) van uw privacy policy, dan zal het aan u zijn om dit te bewijzen. Kies aldus voor een medium die u toelaat om de kennisname door de betrokken persoon te bewijzen. Voorzie bijvoorbeeld een aanvinkbox bij uw contactformulieren of laat de betrokken persoon uw privacy policy paraferen of ondertekenen voor kennisname.

Wenst u bijkomende informatie? Heeft u nog geen privacy policy? Neem contact met mij op voor bijkomende toelichting en advies.