Ga direct naar inhoud

Wat moet er in een privacyverklaring staan?

Wanneer je als zorgaanbieder persoonsgegevens verwerkt, ben je wettelijk verplicht om de betrokkenen hierover te informeren. Denk hierbij aan klanten, medewerkers of websitebezoekers. Het informeren gebeurt over het algemeen via een privacyverklaring.

In het een privacyverklaring moet je in ieder geval de volgende informatie geven:

  • de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van jouw vertegenwoordiger in de EU;
  • de contactgegevens van jouw Functionaris voor Gegevensbescherming (FG);
  • met welk doel worden persoonsgegevens verwerkt en op basis van welke grondslag gebeurt dat?;
  • de (categorieën van) ontvangers van de persoonsgegevens;
  • of je van plan bent de persoonsgegevens door te geven buiten de EU of een internationale organisatie;
  • de bewaartermijn van de persoonsgegevens;
  • Een opsomming van de rechten van betrokkenen. Denk hierbij aan het recht op inzage, correctie, verwijdering en het recht op de gegeven toestemming in te trekken.
  • dat de betrokkene een klacht kan indienen bij de relevante privacytoezichthouder;
  • of en waarom de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn als de gegevens niet worden verstrekt;
  • of je gebruik maakt van geautomatiseerde besluitvorming, inclusief profilering, en hoe je besluiten neemt;
  • als de persoonsgegevens van een andere organisatie zijn verkregen: de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen.

Hoe zorg je dat jouw privacyverklaring toegankelijk is?

Volgens de AVG moet je informatie over je gegevensverwerking schriftelijk geven. De beste manier om dit toegankelijk te maken, is door een online privacyverklaring te publiceren.

Duidelijke taal

De privacyverklaring moet begrijpelijke en duidelijke taal bevatten. Wees kort en bondig, vermijd vaktermen en verplaats je in de lezer.

‘Gelaagde’ privacyverklaring

Een gelaagde privacyverklaring is een manier om ingewikkelde informatie over de verwerking van persoonsgegevens overzichtelijk en toegankelijk te presenteren. Het bestaat uit twee lagen:

  • in de eerste laag geef je kort aan wie de verantwoordelijke organisatie is, hoe die te bereiken is en welke gegevensverwerkingen de meeste impact hebben op de betrokkenen.
  • in de tweede en derde laag van de privacyverklaring kun je meer in detail aangeven welke persoonsgegevens je voor welk doel verwerkt en hoe betrokkenen hun rechten kunnen uitoefenen.

Voorbeeld privacyverklaring