Zoeken
  1. 'Twee clicks verwijderd van een transparant privacy statement'

'Twee clicks verwijderd van een transparant privacy statement'

De implementatiedeadline voor de Algemene Verordening Gegevensbescherming ("AVG") komt steeds dichterbij. De AVG brengt nieuwe verplichtingen met zich mee, waaronder de verplichting om naar betrokkenen nog transparanter te zijn over de verwerking van persoonsgegevens. In dit bericht sta ik hier bij stil en ga ik nader in op de eisen die de toezichthouders aan deze transparantie stellen.Richtsnoer transparantiebeginsel Ter verduidelijking van het transparantiebeginsel heeft de Artikel 29 Werkg...
Artikel | 15 december 2017 | Dafne de Boer
De implementatiedeadline voor de Algemene Verordening Gegevensbescherming ("AVG") komt steeds dichterbij. De AVG brengt nieuwe verplichtingen met zich mee, waaronder de verplichting om naar betrokkenen nog transparanter te zijn over de verwerking van persoonsgegevens. In dit bericht sta ik hier bij stil en ga ik nader in op de eisen die de toezichthouders aan deze transparantie stellen.

Richtsnoer transparantiebeginsel

Ter verduidelijking van het transparantiebeginsel heeft de Artikel 29 Werkgroep ("Werkgroep") op 28 november jl. een ‘richtsnoer transparantiebeginsel' gepubliceerd. De Werkgroep is een onafhankelijk advies- en overlegorgaan van Europese toezichthouders. In de richtsnoer geeft de Werkgroep aan hoe aan de aangescherpte eisen voor transparantie voldaan moet worden. Hieronder bespreek ik op welke wijze het transparantiebeginsel van invloed is op privacy statements.

Begripsmatige transparantie

Allereerst wijst de Werkgroep erop dat de verantwoordelijke moet kunnen aantonen dat zij op een transparante wijze persoonsgegevens verwerkt. Hoewel 'transparantie' in de AVG niet wordt gedefinieerd, staat in artikel 12 AVG vermeld dat de betrokkene informatie in verband met de gegevensverwerking moet ontvangen in een:
"beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal."

De Werkgroep voegt hier aan toe dat informatie betreffende gegevensverwerking op een duidelijke wijze apart moet worden behandeld van niet-privacy gerelateerde onderwerpen. Ook geeft zij enkele voorbeelden van onderdelen in privacy statements die niet voldoende duidelijk zijn om aan het transparantiebeginsel te voldoen.

Zo wordt de 'verwerking van persoonsgegevens voor onderzoeksdoeleinden' onvoldoende helder en duidelijk bevonden omdat niet naar het type onderzoek wordt verwezen. In hoeverre of op welke wijze een onderzoek wel moet worden toegelicht, laat de Werkgroep onbesproken. Of de Werkgroep zich realiseert welke implicaties dit heeft voor verantwoordelijken, is nog maar de vraag. Bijna alle bedrijven en instellingen willen op enig moment persoonsgegevens voor onderzoek kunnen gebruiken. Vaak is niet vooraf heel precies aan te geven welk soort onderzoek er zal worden verricht. Dat betekent dus dat voor veel onderzoek straks de betrokkene eerst vooraf moet worden geïnformeerd en het recht van verzet moet worden geboden (of zelfs toestemming gevraagd).

Om de puntjes op de 'i' te zetten stelt de Werkgroep tot slot dat bij het geven van informatie gebruik moet worden gemaakt van bullet points, in actieve vorm moet worden geschreven en overmatig gebruik van zelfstandige naamwoorden moet worden voorkomen.

Visuele transparantie

Met betrekking tot de vorm waarin de informatie wordt verschaft, adviseert de Werkgroep om gebruik te maken van een gelaagd privacy statement. Het is niet voor het eerst dat de Werkgroep aan het concept van een gelaagd privacy statement refereert, in 2004 adviseerde de Werkgroep al om gebruik te maken van ‘multi-layered notice’. Door te werken met meerdere lagen heeft de betrokkene een overzicht van de verschillende categorieën informatie en wordt er een balans gevonden tussen het bieden van een volledige en begrijpelijke privacy statement. De Werkgroep merkt in dit licht nog op dat informatie die de meeste impact op een betrokkene heeft, in de eerste laag van de statement zichtbaar moet zijn.

Daarnaast moet de betrokkene op een eenvoudige wijze de privacy statement kunnen vinden. Er kan gebruik worden gemaakt van links, verwijzingen en pop-ups om de privacy statement aan te duiden. De Werkgroep is van mening dat websitehouders op elke pagina van hun website een link moet hebben die verwijst naar hun privacy statement. In dit licht is het ook interessant om te zien hoe de Werkgroep het transparantiebeginsel toepast op apps. Naar mening van de Werkgroep moet het privacy statement voorafgaand aan het downloaden van de app zichtbaar zijn. Bovendien moet bij een app het privacy statement zodanig binnen handbereik zijn dat je er met twee clicks bent.

Communicatieve transparantie

De verantwoordelijke moet in het privacy statement duidelijkheid verschaffen over de rechten van de betrokkene en de wijze waarop de betrokkene zijn rechten kan uitoefenen. Wanneer een verantwoordelijke een online platform heeft, is het bijvoorbeeld niet toereikend aan de betrokkene enkel de mogelijkheid te bieden om een inzageverzoek per briefpost te doen. Tot slot stelt de Werkgroep dat in het privacy statement op een overzichtelijke wijze naar voren moet komen welke rechten de betrokkene heeft en hoe de betrokkene die rechten kan gebruiken.

Huiswerk voor de boeg en een kans om het huiswerk te verminderen

Met het publiceren van de richtsnoer transparantiebeginsel heeft de Werkgroep verantwoordelijken, naast het standaard huiswerkpakket van de AVG, een aanvullende huiswerkopdracht gegeven. Verantwoordelijken kunnen hier nog verandering in brengen want de richtsnoer is nog niet aangenomen. Tot 23 januari 2018 is het nog mogelijk om via de volgende link op- en aanmerkingen te sturen. Mocht u naar aanleiding van het lezen van deze blog een poging willen wagen uw huiswerkopdracht aan te passen, dan helpen wij u daar graag bij!