Zes aanpassingen die je moet doorvoeren in je privacyverklaring

Spaanse voetbalfans ontdekten recent dat ze werden gebruikt als auteursrechtspionnen: hun app van de Liga de Fútbol Profesional meldde in de privacyverklaring dat hij op de achtergrond luisterde naar voetbaluitzendingen, om zo ongelicentieerde uitzendingen in het café te kunnen opsporen. Pijnlijk, maar het moest van de AVG. En zo zijn er nog meer dingen die je in je privacyverklaring moet zetten van deze nieuwe wet. Ik zet er een paar op een rijtje.

1. Juridisch taalgebruik is verboden Privacyverklaringen zijn zo saai omdat iedereen ze door juristen laat schrijven. Dat komt vast omdat het een juridisch vereist document is, maar het is echt een probleem. Zeker onder de AVG, die namelijk expliciet eist dat eenvoudig en duidelijk taalgebruik wordt gevoerd dat voor je doelgroep begrijpelijk is. Daar hebben taalwetenschappers een classificatie voor ontwikkeld, en die heet het Europees Referentiekaders Talen, waarbij niveau B1 of B2 is wat de AVG bedoelt.

In een oude privacyverklaring zou je dit zeggen:

Met uw aparte toestemming ontvangt u onze wekelijkse nieuwsbrief over relevante actualiteiten.

Nu zeg je dit:

Je kunt je voor onze nieuwsbrief opgeven. We sturen je dan elke week nieuwtjes per mail.

2. Je uitleg moet concreet en volledig zijn Een favoriete truc van privacyverklaringschrijvers is lekker wollig omschrijven wat er ongeveer gebeurt. Zo klinkt het geruststellend maar kun je achteraf wel zeggen “Er stond toch dat we je gebruikservaring gingen optimaliseren, snap je dan niet dat we bedoelen dat we je interesses in detail vastleggen om je een hogere hypotheek aan te kunnen smeren?”

De AVG eist duidelijkheid. Wat doe je precies, en waarom dan. Wat je niet expliciet en letterlijk hebt genoemd, mag niet. In het voorbeeld van die nieuwsbrief komt er dus iets bij:

In elk bericht zitten onzichtbare codes. Hiermee kunnen wij bijhouden hoe veel mensen onze nieuwsbrief lezen en op welke berichten mensen klikken.

Zonder deze uitleg is het verboden om nog bij te houden hoe veel opens of clicks je nieuwsbrief krijgt.

3. Je moet per onderwerp precies zeggen wat, hoe en hoe lang Duidelijkheid wil ook zeggen dat je precies opschrijft wat je doet, waarom je dat mag, hoe je dat doet en hoe lang. In het jargon: doel, grondslag, uitvoering en bewaartermijn. Je bent vrij in dat doen zoals je dat wilt, maar het moet er wel staan. Een voorbeeld:

Als je je opgeeft geeft voor onze nieuwsbrief, dan sturen wij je wekelijks nieuwtjes, tips en aanbiedingen vanuit ons bedrijf. Je kunt deze toestemming op ieder moment intrekken. We bewaren je e-mailadres en geanonimiseerde informatie over leesgedrag zolang je lid bent. Die informatie bewaren we daarna nog drie maanden voor onze kwartaaloverzichten, daarna gooien we alles weg. Op verzoek zetten we je e-mailadres op een zwarte lijst, zodat je nooit meer nieuwsbrieven van ons krijgt. Deze zwarte lijst houden we totdat jij vraagt om er weer afgehaald te worden (zoals wanneer je je apart opgeeft voor een nieuwsbrief).

4. Je moet mensen wijzen op hun rechten Onder de AVG hebben mensen rechten, zoals inzage in hun gegevens en deze te laten aanpassen. Dat moet je allemaal expliciet uitleggen in je privacyverklaring. Zet er ook meteen bij hoe ze dat kunnen doen, dat scheelt weer vragen bij je klantenservice:

Je hebt het recht een kopie te krijgen van alle persoonlijke informatie die we van je hebben. Als je daar fouten in ziet, zullen wij die aanpassen. En verouderde informatie gooien we meteen weg als je het vraagt.

5. Mensen moeten kunnen klagen Je moet mensen expliciet wijzen op hun klachtrecht en uitleggen waar ze dan bij jou terecht kunnen. Dat moet dus ook weer letterlijk in die privacyverklaring. En nee, langskomen op maandag tussen 9:30 en 11:30 of een brief sturen is niet genoeg als enige optie.

Ben je het niet eens met hoe wij met je privacy omgaan, stuur ons dan een mailtje naar privacy@example.com. Wij helpen je graag.

En komen mensen er niet uit met jou, dan mogen ze een klacht over je indienen bij de Autoriteit Persoonsgegevens. Dat is een wettelijk recht:

Kom je er met ons niet uit, dien dan een klacht in bij de toezichthouder. Dat is in Nederland de Autoriteit Persoonsgegevens, zie www.autoriteitpersoonsgegevens.nl voor meer informatie.

6. Stop met akkoord vragen op je privacyverklaring Een van mijn grootste ergernissen is al jaren dat mensen akkoord vragen op privacyverklaring. Nergens voor nodig. Dit document is een dienstmededeling, een bijsluiter. Zo werken wij. Akkoord daarop is niet nodig. Als je al ergens akkoord op nodig hebt – toestemming of opt-in dus – dan moet je dat sowieso apart en expliciet vragen. Ga dus je hele privacyverklaring door: staat daar ergens in “u geeft toestemming voor …”? Dan doe je het fout. Vraag die toestemming apart en zet in de privacyverklaring “Wanneer u toestemming geeft voor”. Dan is het uitleg.

Natuurlijk moet je mensen wijzen op je privacyverklaring wanneer ze gegevens aan je geven. Maar dat mag ook echt met gewoon een zin:

Je privacy staat bij ons voorop. Lees in onze privacyverklaring wat wij doen met je persoonlijke informatie.

Arnoud

18 reacties

  1. Waarom is het zo dat de oude tekst in u-vorm is (“uw aparte toestemming”), en de nieuwe allemaal in je-vorm (“je kunt je voor”)? Is het woord u tegenwoordig al te moeilijk voor veel mensen? Ik wordt namelijk liever niet getutoyeerd door anonieme teksten als privacyverklaringen.

    (Bij een blog vind ik dat weer anders want dat heeft toch de status van een bericht aan vrienden.)

    1. Geen bijzondere reden, voor mij voelt dat vanzelfsprekend als ik op taalniveau B1/B2 ga schrijven. Maar het kan ook met ‘u’, ik denk niet dat een tekst onbegrijpelijk wordt enkel door te vousvoyeren.

      Persoonlijk vind ik het altijd wel een stijlbreuk als ik overal jij en jou lees en dan ineens in de privacyverklaring lees Geachte heer, Alchemax Inc gevestigd te New York doet als verwerkingsverantwoordelijke hierbij mededeling ten aanzien van verwerking van uw persoonsgegevens.

  2. Ik heb even geteld wat er nog in mijn trash folder zat. drie mails van websites en een forum over de AVG en dat ik akkoord moet gaan met hun nieuwe privacybeleid.

    Een twee mails dat de algemene voorwaarden ivm de AVG zijn gewijzigd, waarvan één expliciet een akkoord vroeg en de ander aangaf dat als ik deze automatisch van toepassing zijn als ik de site na de ingangsdatum (in het verleden!) blijf gebruiken.

    Overigens allemaal kleine websites, de grote jongens waren allemaal een stuk sneller en zijn al definitief gewist, kan dus niet meer zien hoe die het deden. Ik heb zoals de meesten blind op akkoord geklikt, het is niet alsof ik een echte keuze heb.

  3. Ik bedenk mij opeens iets betreffende de AVG en dit blog. Immers, dit blog verwerkt ook persoonsgegevens zoals naam, emailadres en website in combinatie met commentaar waarin persoonlijke gegevens zouden kunnen staan. En die gegevens blijven online voor een enorme lange tijd. Moet je dan een privacyverklaring toe mailen aan iedereen die in het verleden wel eens een reactie heeft geplaatst? 🙂

    1. Neen.

      Artikel 11 van het Handvest van de grondrechten van de Europese Unie (2000/C 364/01), Artikel 43 van de Uitvoeringswet AVG, Artikel 85 en overweging (153) AVG.

      Of is dat te juridisch geformuleerd? Maar daar staat het nou eenmaal. De zwarte hagedis. Die ligt dáár.

  4. Ik woon in Duitsland, hier gebeuren ook merkwaardige dingen nu met de nieuwe wetgeving. Bij mijn dochter op de kinderopvang komt een fotografe langs. Ik heb globaal even door de circa 10 pagina’s heengebladerd die geleverd zijn als verklaring van van alles en nogwat. Zo meent de fotografe wettelijk verplicht te zijn je persoonsgegevens tot 10 jaar te bewaren, tenzij er nog een wet of regel is die langer verplicht stelt. Daarnaast moet je tekenen voor toestemming van het verwerken van persoonsgegevens (wat overigens hier in Duitsland te pas en vooral te onpas gevraagd wordt tegenwoordig, ook door partijen die al lang je toestemming hebben). En, maar dat is meer auteursrecht, er staat ook een clausule in het document waarin staat dat je de foto’s niet online mag publiceren, hoewel je de fotografe dus (schriftelijk) opdracht geeft deze namens jou te maken van je kind.

    Met name de interpretatie van de ‘nieuwe’ wetgeving is mij tot nu toe een doorn in het oog.

    1. Dat niet mogen publiceren kan ook meer te maken hebben met auteursrecht dan met zorgen om jouw persoonsgegevens. Vragen om auteursrechtenoverdracht cq eeuwigdurige exclusieve licentie om dat probleem te omzeilen (In Nederland mag je eigen foto’s posten op grond van de portret-uitzondering).

      1. Klopt dat deel is enigszins off-topic inderdaad. Voor het overige valt me dus wel op dat hier ook op grote schaal de wet- / regelgeving verkeerd begrepen wordt. De tandarts bijvoorbeeld waar we al jaren komen die ineens zegt dat het verplicht is een handtekening te zetten voor het verwerken van persoonsgegevens.

  5. Ik voel me behoorlijk behoorlijk beledigd door dit taalgebruik. Mag ik ook een niet-belerende versie kunnen lezen? Ook:

    Op verzoek zetten we je e-mailadres op een zwarte lijst, zodat je nooit meer nieuwsbrieven van ons krijgt. Deze zwarte lijst houden we totdat jij vraagt om er weer afgehaald te worden (zoals wanneer je je apart opgeeft voor een nieuwsbrief).
    Klinkt lekker simpel maar hier staat dus dat je, nadat ik bezwaar heb geuit over verwerken van mijn mailadres, eeuwig mijn mailadres gaat verwerken. Leuk hoor: klagen over spam en dan voor altijd op de zwarte lijst staan. Ik durf meteen niet meer te klagen…

    Ook (juist?) op A2-niveau kan je mensen er in luizen.

    1. Een e-mailadres bewaren op een zwarte lijst is inderdaad net zo goed het verwerken van persoonsgegevens. Dit lijkt me niet de beste optie, dat blijft toch echt het verwijderen van de gegevens. Ik hoop namelijk niet dat ik bij al mijn afgemelde nieuwsbrieven nog op een zwarte lijst sta…

      1. Het gebruik van een de term “Zwarte Lijst” is nogal negatief. Beter om te spreken van een lijst van “mail mij niet” lijst; deze kan mogelijk gerechtvaardigd worden als noodzakelijk om te voldoen aan de voorschriften van de AVG, en dus toegestaan — maar zo’n lijst zou in principe helemaal niet nodig zijn: je moet zo-wie-zo expliciet toestemming of een andere rechtvaardiging voor mailen hebben.

  6. Ik heb sinds kort een blog via WordPress. Ik schrijf en lezers mogen een reactie achterlaten. Ik doe verder niets met de persoonsgegevens van lezers of met hun reactie. Ik deel hun gegevens niet met anderen, sla ze verder ook niet zelf op. Maar ik weet niet wat WordPress doet. Moet ik toch een privacyverklaring op mijn blog zetten en zo ja wat moet daarin staan? Waar vind ik daar informatie over? Heeft iemand hier heldere informatie over?

    1. Hoi Shanti, Je zult het misschien niet meteen denken, maar je verwerkt al heel snel persoonsgegevens. Zoals je zelf aangeeft is dit doordat je een reactie achterlaat. Maar wellicht gebruik je ook nog Google Analytics of verstuur je e-mails/nieuwsbrieven. Via een zoekmachine heb ik de volgende site gevonden (ik ga immers niet opnieuw het wiel uitvinden): https://www.bloggenenloggen.nl/waarom-je-als-blogger-niet-om-de-avg-heen-kunt/ Hier is ook een stappenplan zodat je Google Analytics kunt aanpassen om te voldoen aan de AVG. Deze persoon heeft daarbij een privacyverklaring die er erg netjes uitziet. https://www.bloggenenloggen.nl/privacy-verklaring/ Ik denk dat dit een goede basis is.

      Verder doet WordPress volgensmij niks met jouw gegevens, het is toch de webhosting waar je gegevens worden opgeslagen? WordPress heeft hier verder niks mee te maken. Zie ook hier: https://wordpress.org/support/topic/data-processing-agreement/

      1. Hoi AVGekkie, hoewel ik (nog) geen Google Analytics heb denk ik wel dat je gelijk hebt. Ik verwerk al persoonsgegevens omdat mensen dat op mijn blog kunnen achterlaten. Bedankt voor de handige links. Hoewel ik nog niet alles goed heb doorgenomen, is dit denk ik wel de informatie die ik zoek. Volgende week ga ik ermee aan de slag.

        De webhosting had ik als eerste benaderd met mijn vraag over een privacyverklaring maar ze willen daar niets over zeggen omdat het volgens hen ingewikkelde materie is waar zij ook niet alles van weten en ze willen geen verkeerde informatie verstrekken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.