Zes aanpassingen die je moet doorvoeren in je privacyverklaring

| AE 10669 | Privacy | 18 reacties

Spaanse voetbalfans ontdekten recent dat ze werden gebruikt als auteursrechtspionnen: hun app van de Liga de Fútbol Profesional meldde in de privacyverklaring dat hij op de achtergrond luisterde naar voetbaluitzendingen, om zo ongelicentieerde uitzendingen in het café te kunnen opsporen. Pijnlijk, maar het moest van de AVG. En zo zijn er nog meer dingen die je in je privacyverklaring moet zetten van deze nieuwe wet. Ik zet er een paar op een rijtje.

1. Juridisch taalgebruik is verboden Privacyverklaringen zijn zo saai omdat iedereen ze door juristen laat schrijven. Dat komt vast omdat het een juridisch vereist document is, maar het is echt een probleem. Zeker onder de AVG, die namelijk expliciet eist dat eenvoudig en duidelijk taalgebruik wordt gevoerd dat voor je doelgroep begrijpelijk is. Daar hebben taalwetenschappers een classificatie voor ontwikkeld, en die heet het Europees Referentiekaders Talen, waarbij niveau B1 of B2 is wat de AVG bedoelt.

In een oude privacyverklaring zou je dit zeggen:

Met uw aparte toestemming ontvangt u onze wekelijkse nieuwsbrief over relevante actualiteiten.

Nu zeg je dit:

Je kunt je voor onze nieuwsbrief opgeven. We sturen je dan elke week nieuwtjes per mail.

2. Je uitleg moet concreet en volledig zijn Een favoriete truc van privacyverklaringschrijvers is lekker wollig omschrijven wat er ongeveer gebeurt. Zo klinkt het geruststellend maar kun je achteraf wel zeggen “Er stond toch dat we je gebruikservaring gingen optimaliseren, snap je dan niet dat we bedoelen dat we je interesses in detail vastleggen om je een hogere hypotheek aan te kunnen smeren?”

De AVG eist duidelijkheid. Wat doe je precies, en waarom dan. Wat je niet expliciet en letterlijk hebt genoemd, mag niet. In het voorbeeld van die nieuwsbrief komt er dus iets bij:

In elk bericht zitten onzichtbare codes. Hiermee kunnen wij bijhouden hoe veel mensen onze nieuwsbrief lezen en op welke berichten mensen klikken.

Zonder deze uitleg is het verboden om nog bij te houden hoe veel opens of clicks je nieuwsbrief krijgt.

3. Je moet per onderwerp precies zeggen wat, hoe en hoe lang Duidelijkheid wil ook zeggen dat je precies opschrijft wat je doet, waarom je dat mag, hoe je dat doet en hoe lang. In het jargon: doel, grondslag, uitvoering en bewaartermijn. Je bent vrij in dat doen zoals je dat wilt, maar het moet er wel staan. Een voorbeeld:

Als je je opgeeft geeft voor onze nieuwsbrief, dan sturen wij je wekelijks nieuwtjes, tips en aanbiedingen vanuit ons bedrijf. Je kunt deze toestemming op ieder moment intrekken. We bewaren je e-mailadres en geanonimiseerde informatie over leesgedrag zolang je lid bent. Die informatie bewaren we daarna nog drie maanden voor onze kwartaaloverzichten, daarna gooien we alles weg. Op verzoek zetten we je e-mailadres op een zwarte lijst, zodat je nooit meer nieuwsbrieven van ons krijgt. Deze zwarte lijst houden we totdat jij vraagt om er weer afgehaald te worden (zoals wanneer je je apart opgeeft voor een nieuwsbrief).

4. Je moet mensen wijzen op hun rechten Onder de AVG hebben mensen rechten, zoals inzage in hun gegevens en deze te laten aanpassen. Dat moet je allemaal expliciet uitleggen in je privacyverklaring. Zet er ook meteen bij hoe ze dat kunnen doen, dat scheelt weer vragen bij je klantenservice:

Je hebt het recht een kopie te krijgen van alle persoonlijke informatie die we van je hebben. Als je daar fouten in ziet, zullen wij die aanpassen. En verouderde informatie gooien we meteen weg als je het vraagt.

5. Mensen moeten kunnen klagen Je moet mensen expliciet wijzen op hun klachtrecht en uitleggen waar ze dan bij jou terecht kunnen. Dat moet dus ook weer letterlijk in die privacyverklaring. En nee, langskomen op maandag tussen 9:30 en 11:30 of een brief sturen is niet genoeg als enige optie.

Ben je het niet eens met hoe wij met je privacy omgaan, stuur ons dan een mailtje naar privacy@example.com. Wij helpen je graag.

En komen mensen er niet uit met jou, dan mogen ze een klacht over je indienen bij de Autoriteit Persoonsgegevens. Dat is een wettelijk recht:

Kom je er met ons niet uit, dien dan een klacht in bij de toezichthouder. Dat is in Nederland de Autoriteit Persoonsgegevens, zie www.autoriteitpersoonsgegevens.nl voor meer informatie.

6. Stop met akkoord vragen op je privacyverklaring Een van mijn grootste ergernissen is al jaren dat mensen akkoord vragen op privacyverklaring. Nergens voor nodig. Dit document is een dienstmededeling, een bijsluiter. Zo werken wij. Akkoord daarop is niet nodig. Als je al ergens akkoord op nodig hebt – toestemming of opt-in dus – dan moet je dat sowieso apart en expliciet vragen. Ga dus je hele privacyverklaring door: staat daar ergens in “u geeft toestemming voor …”? Dan doe je het fout. Vraag die toestemming apart en zet in de privacyverklaring “Wanneer u toestemming geeft voor”. Dan is het uitleg.

Natuurlijk moet je mensen wijzen op je privacyverklaring wanneer ze gegevens aan je geven. Maar dat mag ook echt met gewoon een zin:

Je privacy staat bij ons voorop. Lees in onze privacyverklaring wat wij doen met je persoonlijke informatie.

Arnoud

Deel dit artikel

  1. Waarom is het zo dat de oude tekst in u-vorm is (“uw aparte toestemming”), en de nieuwe allemaal in je-vorm (“je kunt je voor”)? Is het woord u tegenwoordig al te moeilijk voor veel mensen? Ik wordt namelijk liever niet getutoyeerd door anonieme teksten als privacyverklaringen.

    (Bij een blog vind ik dat weer anders want dat heeft toch de status van een bericht aan vrienden.)

    • Geen bijzondere reden, voor mij voelt dat vanzelfsprekend als ik op taalniveau B1/B2 ga schrijven. Maar het kan ook met ‘u’, ik denk niet dat een tekst onbegrijpelijk wordt enkel door te vousvoyeren.

      Persoonlijk vind ik het altijd wel een stijlbreuk als ik overal jij en jou lees en dan ineens in de privacyverklaring lees Geachte heer, Alchemax Inc gevestigd te New York doet als verwerkingsverantwoordelijke hierbij mededeling ten aanzien van verwerking van uw persoonsgegevens.

  2. Ik heb even geteld wat er nog in mijn trash folder zat. drie mails van websites en een forum over de AVG en dat ik akkoord moet gaan met hun nieuwe privacybeleid.

    Een twee mails dat de algemene voorwaarden ivm de AVG zijn gewijzigd, waarvan één expliciet een akkoord vroeg en de ander aangaf dat als ik deze automatisch van toepassing zijn als ik de site na de ingangsdatum (in het verleden!) blijf gebruiken.

    Overigens allemaal kleine websites, de grote jongens waren allemaal een stuk sneller en zijn al definitief gewist, kan dus niet meer zien hoe die het deden. Ik heb zoals de meesten blind op akkoord geklikt, het is niet alsof ik een echte keuze heb.

  3. Ik bedenk mij opeens iets betreffende de AVG en dit blog. Immers, dit blog verwerkt ook persoonsgegevens zoals naam, emailadres en website in combinatie met commentaar waarin persoonlijke gegevens zouden kunnen staan. En die gegevens blijven online voor een enorme lange tijd. Moet je dan een privacyverklaring toe mailen aan iedereen die in het verleden wel eens een reactie heeft geplaatst? 🙂

  4. Ik woon in Duitsland, hier gebeuren ook merkwaardige dingen nu met de nieuwe wetgeving. Bij mijn dochter op de kinderopvang komt een fotografe langs. Ik heb globaal even door de circa 10 pagina’s heengebladerd die geleverd zijn als verklaring van van alles en nogwat. Zo meent de fotografe wettelijk verplicht te zijn je persoonsgegevens tot 10 jaar te bewaren, tenzij er nog een wet of regel is die langer verplicht stelt. Daarnaast moet je tekenen voor toestemming van het verwerken van persoonsgegevens (wat overigens hier in Duitsland te pas en vooral te onpas gevraagd wordt tegenwoordig, ook door partijen die al lang je toestemming hebben). En, maar dat is meer auteursrecht, er staat ook een clausule in het document waarin staat dat je de foto’s niet online mag publiceren, hoewel je de fotografe dus (schriftelijk) opdracht geeft deze namens jou te maken van je kind.

    Met name de interpretatie van de ‘nieuwe’ wetgeving is mij tot nu toe een doorn in het oog.

  5. Ik voel me behoorlijk behoorlijk beledigd door dit taalgebruik. Mag ik ook een niet-belerende versie kunnen lezen? Ook:

    Op verzoek zetten we je e-mailadres op een zwarte lijst, zodat je nooit meer nieuwsbrieven van ons krijgt. Deze zwarte lijst houden we totdat jij vraagt om er weer afgehaald te worden (zoals wanneer je je apart opgeeft voor een nieuwsbrief).
    Klinkt lekker simpel maar hier staat dus dat je, nadat ik bezwaar heb geuit over verwerken van mijn mailadres, eeuwig mijn mailadres gaat verwerken. Leuk hoor: klagen over spam en dan voor altijd op de zwarte lijst staan. Ik durf meteen niet meer te klagen…

    Ook (juist?) op A2-niveau kan je mensen er in luizen.

      • Het gebruik van een de term “Zwarte Lijst” is nogal negatief. Beter om te spreken van een lijst van “mail mij niet” lijst; deze kan mogelijk gerechtvaardigd worden als noodzakelijk om te voldoen aan de voorschriften van de AVG, en dus toegestaan — maar zo’n lijst zou in principe helemaal niet nodig zijn: je moet zo-wie-zo expliciet toestemming of een andere rechtvaardiging voor mailen hebben.

  6. Ik heb sinds kort een blog via WordPress. Ik schrijf en lezers mogen een reactie achterlaten. Ik doe verder niets met de persoonsgegevens van lezers of met hun reactie. Ik deel hun gegevens niet met anderen, sla ze verder ook niet zelf op. Maar ik weet niet wat WordPress doet. Moet ik toch een privacyverklaring op mijn blog zetten en zo ja wat moet daarin staan? Waar vind ik daar informatie over? Heeft iemand hier heldere informatie over?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS