Wat is een privacyreglement?

Een privacyreglement (ook wel privacyverklaring of privacy statement genoemd) is een document waarin een organisatie de betrokkenen informeert welke persoonsgegevens ze van hen verwerken, met welk doel en hoelang ze de gegevens bewaren. Een organisatie is wettelijk verplicht om betrokkenen (bijvoorbeeld klanten, bezoekers, maar ook werknemers) duidelijk te informeren. Een privacyreglement moet toegankelijk zijn voor de betrokkenen. Veel organisaties plaatsen het privacyreglement daarom op hun website. Bovendien moet de tekst goed leesbaar en duidelijk zijn.

Verplichte onderdelen privacyreglement

De AVG stelt een aantal specifieke eisen waar een privacyverklaring aan moet voldoen. Deze eisen gaan over de inhoud, de toegankelijkheid en de duidelijkheid van de informatie. In het privacyreglement moet in ieder geval de volgende informatie staan:

Identiteit

• Identiteit en contactgegevens van de organisatie (de verwerkingsverantwoordelijke);
• Als er een Functionaris Gegevensbescherming (FG) is binnen de organisatie, moeten de contactgegevens van deze persoon ook bekend worden gemaakt;

Doeleinden en grondslagen

• De doelen voor de verwerking;
• De rechtsgrond voor de verwerking;

Ontvangers van persoonsgegevens

• Als een verwerkingsverantwoordelijke gebruik maakt van een verwerker, moet ook de verwerker genoemd worden;

Verwerking buiten de EU

• Als de verwerkingsverantwoordelijke het plan heeft om persoonsgegevens door te geven naar een derde land, moet dit ook opgenomen worden in het privacyreglement;

Bewaartermijn

• De gehanteerde bewaartermijn;

Rechten van de betrokkenen

• Uiteenzetting van de rechten van de betrokkene, zoals het recht op inzage;
• Als de verwerking gebaseerd is op toestemming, dat deze toestemming ook weer in te trekken is;
• Dat de betrokkene een klacht in kan dienen bij de privacytoezichthouder (Autoriteit Persoonsgegevens);
• Of de organisatie gebruikmaakt van geautomatiseerde besluitvorming, en hoe er besluiten worden genomen;

Overig

• Of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
• Als de gegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.