Deze week ontvingen we van een stichting de vraag of ook zij verplicht zijn om “zo’n privacy statement” op hun website te plaatsen. Het antwoord is: “ja, hoogstwaarschijnlijk wel”. Ook als stichting (of vereniging) verwerk je immers persoonsgegevens en onder de AVG ben je op dat moment verplicht om mensen hieromtrent te informeren. Deze informatieplicht wordt in de praktijk veelvuldig “vertaald” in het plaatsen van een privacystatement op de website.
In jullie privacystatement informeren jullie alle betrokkenen over hun rechten, over wie jullie zijn, de grondslagen en doeleinden van de verwerking, de bewaartermijnen, derde partijen met wie jullie gegevens delen, etcetera.
Verwerken wij persoonsgegevens?
Voor de volledigheid: persoonsgegevens is alle informatie die een persoon identificeert of kan identificeren (“te herleiden is tot een persoon”). Bij een stichting kun je onder andere denken aan gegevens over donateurs (naam, adres, telefoonnummer). We zien nog te vaak dat organisaties onder de illusie leven dat zij “helemaal geen persoonsgegevens verwerken”. Dit is – zoals we al eerder omschreven – een klassieke misvatting, want persoonsgegevens verwerken, doe je al snel onder de AVG. Het is begrijpelijk waarom velen toch het idee hebben dat ze geen persoonsgegevens verwerken. De term verwerking roept namelijk het gevoel op, alsof we actief bezig zouden moeten zijn met de handel in data. De term verwerken onder de AVG vereist echter helemaal geen actieve handeling: het simpelweg onder je hebben van persoonsgegevens, is voldoende. Het is dus niet genoeg om tegen jezelf te zeggen: ‘Ach, die lijst met e-mail adressen die ik onder mij heb waarvoor de betrokkenen geen toestemming hebben gegeven, maak mij niet tot een verwerker zolang ik er niks mee doe.’ Dat is dus fout, omdat je persoonsgegevens verzamelt of (waarschijnlijk) hebt opgeslagen.
Waar moet de privacyverklaring staan?
Je moet de privacyverklaring in eenvoudige en duidelijke taal opstellen (het liefst dus met niet al te veel juridisch jargon) zodat deze voor een ieder begrijpelijk is. Bovendien moet de verklaring eenvoudig te vinden zijn voor een betrokkene. Tip: plaats jullie verklaring in de footer van jullie website (een hyperlink naar jullie privacystatement) zodat deze op elke webpagina zichtbaar is. Een privacystatement mag in ieder geval niet “verborgen” zijn in jullie algemene voorwaarden.
Een verwerkingsregister nodig?
Zijn jullie er nu? Nog niet helemaal. In veel gevallen hebben jullie als stichting inderdaad een privacyverklaring nodig en het is dan ook belangrijk dat jullie deze hebben laten opstellen, maar hiermee zijn jullie er nog niet. Mogelijk dienen jullie aan een veelheid van andere vereisten te voldoen, zoals bijvoorbeeld het bijhouden van een register, het aanstellen van een Privacy Officer, het opstellen van verwerkersovereenkomsten, het aanpassen van je Cookiebeleid (kijk eens naar cookiebot), vragen om toestemming etc. Bedenk ook dat het voldoen aan de AVG niet iets ‘eenmaligs’ inhoudt. Jullie dienen steeds weer jullie interne privacybeleid te bekijken en mogelijk te herzien.