GDPR (12) Hoe presenteer je een Privacy verklaring best?

31 oktober 2017

In de vorige aflevering hebben we overlopen wat je allemaal moet opnemen in een Privacy verklaring, zodat alle betrokkenen correct zijn ingelicht over de verwerkingen die met hun data gebeuren. Het is echter ook belangrijk op welke manier je dit doet. De opstellers van de GDPR hebben hieraan specifiek aandacht besteed.

Als verantwoordelijke heb je de plicht deze informatie te verstrekken in beknopte vorm en in heldere en begrijpelijke taal. In het verleden zijn sommige firma’s kampioen geweest in het opstellen van loodzware teksten met voor gewone mensen onbegrijpelijke formuleringen, liefst tientallen pagina’s lang. Op die manier ontmoedig je de gebruiker om het document werkelijk te lezen. Dit is het tegengestelde van transparantie. De GDPR verwacht dat je eenvoudige taal gebruikt, die zowat iedereen kan verstaan. In Nederland beveelt men expliciet taalniveau B1 aan. Dat is niveau lager onderwijs. Als je publiek ook uit kinderen bestaat, is het extra belangrijk dat je op een simpele en begrijpelijke manier uitlegt wat je doet met gegevens die zij doorgeven. Het is vaak de beste oplossing een aparte Privacy verklaring voor kinderen op te stellen.

De transparantie is ook hoger als je eerst de hoofdlijnen beknopt weergeeft en je de tekst goed structureert. Je kan bijvoorbeeld elk onderwerp beschrijven in één zinnetje of een korte alinea en dan de mogelijkheid geven om door te klikken naar meer informatie. Zo vindt de gebruiker snel het item terug waarnaar hij zoekt en kan hij desgewenst daarop dieper ingaan. Het kan een goed idee zijn te werken met iconen, om zo nog eenvoudiger de boodschap over te brengen dan met louter tekst. Werkgroepen zijn al verschillende jaren bezig met het ontwikkelen van specifieke iconen, maar dit is ook een uitdaging.

Vergeet ook niet de Privacy verklaring te dateren en een versienummer te geven. Dit soort teksten zijn immers levend. Er kunnen wijzigingen komen in de aard van de gegevens die je verwerkt, in de bestemmelingen of in de genomen beschermingsmaatregelen. Je tekst moet correcte en actuele informatie geven en zal dus regelmatig wijzigen. Eigenlijk horen de betrokkenen ook op de hoogte te zijn van deze wijzigingen. Je moet hen dus op zijn minst duidelijk maken dat de verklaring later kan veranderen. Nodig hen uit de pagina op je website regelmatig opnieuw te bezoeken. Het is nuttig oudere versies van je Privacy verklaring bij te houden, zodat in geval van betwisting van een verwerking kan nagegaan worden welke informatie op het ogenblik van die verwerking beschikbaar was voor de betrokkenen.

Op welke plaats en in welke vorm je de Privacy verklaring best kenbaar maakt, is afhankelijk van de omstandigheden. Zorg er zeker voor dat ze gemakkelijk terug te vinden is. Een Privacy verklaring verstoppen tussen je algemene voorwaarden is te vermijden. De meest gangbare methode is een link vanaf de website, maar een Privacy verklaring kan ook op papier of zelfs mondeling gecommuniceerd worden. Er zijn wel een aantal regels waarmee je rekening moet houden.

Als je op een website of in een toepassing persoonsgegevens door gebruikers laat invullen, dan moet je ervoor zorgen dat je de nodige informatie over de verwerking vooraf gegeven hebt. Dit kan het best gebeuren door al in de introductie tot deze toepassing een verwijzing op te nemen naar de Privacy verklaring. Op veel websites vind je dergelijke verwijzing in een balk onderaan elke pagina. Dat is natuurlijk minder specifiek en niet gerelateerd aan één bepaalde doelstelling. Maar de info is dan wel vanaf het openen van je website meteen bereikbaar. Dit is belangrijk op websites die via cookies of andere tools info vergaren over het surfgedrag van bezoekers. Dit start immers bij het openen van de website, zodat de bezoeker hiervan meteen op de hoogte gebracht moet worden.

Het is zeker niet verkeerd om meerdere Privacy verklaringen te maken, aangepast aan bepaalde doelgroepen. Je klanten of prospecten zijn wellicht niet geïnteresseerd in de omgang van je organisatie met personeelsgegevens. Op die manier beperk je telkens ook de lengte van de tekst.

De GDPR is overigens wel een goede aanleiding voor elke organisatie om het beleid rond het verwerken van personeelsgegevens eens door te lichten en erover te communiceren binnen het bedrijf. Er circuleren meer gegevens over het personeel dan je denkt en sommige daarvan zijn gevoelig.

  • Allerlei gegevens zijn nodig voor de loonverwerking (salaris, aanwezigheid, ziekteverzuim, samenstelling van het gezin). Voor veel bedrijven wordt deze informatie extern verwerkt door een sociaal secretariaat, dat dus de rol van dataverwerker krijgt. Voorts moeten in het kader van de sociale zekerheid en de belastingadministratie gegevens doorgegeven worden aan de overheid.
  • Verder bevatten de interne personeelsdossiers allerlei loopbaangegevens. Naar aanleiding van aanwervingen, evaluaties of promoties komt deze informatie ook buiten de personeelsdienst terecht. Het is belangrijk de procedures rond vertrouwelijkheid van deze gegevens nog eens op punt te stellen.
  • Andere gegevens heeft betrekking op het gebruik van ICT-tools. Dit kan gaan van de inhoud van mails via useraccounts, gebruikersgroepen en autorisatieniveaus tot logs van het gebruik van toepassingen of het bezoeken van websites. Het is belangrijk open te communiceren over de informatie die in logs wordt bijgehouden en de doelstelling hiervan. En je moet duidelijk maken wat de werkgever wel en niet mag doen met deze informatie.

In grotere organisaties is dit materie die op de Ondernemingsraad moet besproken worden. Maar ook in kleinere firma’s is het nodig de werknemers op de hoogte te stellen van alle verwerkingen van persoonsgegevens. Dit kan in de vorm van een interne Privacy verklaring, die je in het arbeidsreglement opneemt of als een apart document verspreidt, op papier of digitaal. Het is geen slecht idee dergelijke tekst voor kennisgeving te laten ondertekenen door je werknemers.

Het zal soms wat creativiteit vergen, maar met enige goede wil is elke organisatie in staat duidelijkheid te scheppen over de verwerkingen van persoonsgegevens die zij doen en de redenen waarom dit nodig is. Transparant zijn is immers een basisvereiste.  In de volgende afleveringen van de blog zullen we uitleggen wat de GDPR bedoelt met adequate beschermingsmaatregelen voor de te verwerken persoonsgegevens. Dit zou wel eens voor veel bedrijven een grote uitdaging kunnen worden.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING