16 mei 2018

Heeft u al een privacy verklaring op uw website geplaatst?

Vanaf 25 mei bent u verplicht een privacy verklaring op uw website te hebben. U kunt dit eenvoudig doen door in het vir2biz CMS naar "instellingen" te gaan, selecteer daar het tabblad "privacyverklaring". Vervolgens stelt u een verklaring samen conform de GDPR / AVG Privacy statements. Hieronder enkele tips voor een correcte privacy statement. Er is geen standaard opmaak voor deze verklaring omdat elke onderneming een andere online structuur heeft. Zodra u de tekst heeft toegevoegd geeft u vir2biz een seintje en zal deze onderin (bij de disclaimer) geplaatst worden.

Voorbeeld CMS weergave "privacyverklaring": 


Mocht u ondersteuning nodig hebben dan kunnen wij u uiteraard ook verder helpen. Naast het opmaken van een AVG privacy verklaring zullen wij ook uw website checken of deze verder voldoet aan de nieuwe wetgeving. Mail hiervoor naar sales@vir2biz.nl voor meer informatie.

Aan welke eisen moet een privacy statement voldoen?

Een privacy statement moet voldoen aan de volgende kenmerken:

  • beknopt
  • transparant
  • begrijpelijk
  • gemakkelijk toegankelijk

Deze eisen dienen ervoor te zorgen dat een kandidaat weet waar hij aan toe is op het gebied van zijn privacy. Afhankelijk van de manier waarop de gegevens van de kandidaat verzameld worden, is er een aantal specifieke eisen waaraan een privacy statement moet voldoen. Gegevens kunnen op directe en op indirecte wijze worden verzameld. Bij de directe wijze geeft de kandidaat rechtstreeks gegevens door, bijvoorbeeld via een sollicitatieformulier. Bij de indirecte wijze worden de gegevens via een externe bron verzameld. Dit gebeurt bijvoorbeeld als een recruiter gegevens over de kandidaat uit LinkedIn haalt.

Directe verwerking van persoonsgegevens

Als de gegevens direct van de kandidaat komen, dan dient het privacy statement te worden verstrekt op het moment dat de persoonsgegevens doorgegeven worden. Dit kan door een link naar het privacy statement op te nemen op het sollicitatieformulier. Het privacy statement moet minimaal de volgende informatie bevatten:

  • Identiteit en contactinformatie van de verwerkingsverantwoordelijke;
  • Doel en wettelijke basis voor de verwerking;
  • De legitieme belangen van de verwerkingsverantwoordelijke (als deze van toepassing is);
  • Eventuele ontvangers (of categorieën van ontvangers) van de persoonsgegevens (bijvoorbeeld eventuele verwerkers);
  • Informatie omtrent het doorsturen van de persoonsgegevens naar een derde land (buiten EU), indien van toepassing;
  • De bewaartermijn, of de criteria waarmee de bewaartermijn bepaald wordt;
  • De betrokkene dient gewezen te worden op de rechten die hij heeft;
  • De betrokkene dient gewezen te worden op het recht om zijn toestemming voor de verwerking in te trekken;
  • De betrokkene dient gewezen te worden op zijn recht om een klacht in te dienen bij de toezichthouder;
  • Als gebruik wordt gemaakt van geautomatiseerde besluitvorming dient dit vermeld te worden;


Indirecte verwerking van persoonsgegevens

Wanneer gegevens op indirecte wijze worden verzameld, bijvoorbeeld via LinkedIn, gelden dezelfde eisen als hierboven zijn aangegeven. Daarnaast moet je duidelijk aangeven welk soort (categorie) gegevens je hebt verwerkt en welke bron je hiervoor gebruikte.

De betrokkene dient binnen een redelijke termijn (in ieder geval binnen een maand na verwerking) geïnformeerd te worden over bovenstaande punten. Als de persoonsgegevens verwerkt worden om te communiceren met de betrokkene, dan dient deze informatie op zijn laatst tijdens het eerste contact met de betrokkene verstrekt te worden.

Ook als de persoonsgegevens worden doorgestuurd naar een andere partij, dan moet je betrokkene hiervan op de hoogte stellen en wel op zijn laatst op het moment dat de gegevens gedeeld worden met deze andere partij.

Identiteit en contactinformatie

In het privacy statement moet de identiteit en contactinformatie van de verwerkingsverantwoordelijke worden vermeld. Als de verwerkingsverantwoordelijke een Functionaris Gegevensbescherming (of Data Protection Officer) in dienst heeft, dan dienen ook de contactgegevens van deze functionaris vermeld te worden.

Wettelijke basis voor de verwerking

Om persoonsgegevens te kunnen verwerken, dient er een wettelijke basis voor de verwerking te zijn. Er moet in elk geval aan de onderstaande punten zijn voldaan:

De betrokkene heeft toestemming gegeven voor de verwerking
Verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene een partij is, of geschiedt op verzoek van de betrokkene voor de sluiting van een overeenkomst;
De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verwerkingsverantwoordelijke;
De verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;
De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang;
De verwerking is noodzakelijk voor de behartiging van de legitieme belangen van de verwerkingsverantwoordelijke.

Bewaartermijn

Persoonsgegevens van betrokkene mogen niet langer dan strikt noodzakelijk bewaard worden voor het doel waarvoor deze gegevens oorspronkelijk verwerkt werden. Als er geen ‘harde’ bewaartermijn te bepalen is, dan dienen in het privacy statement de criteria vermeld te worden die de bewaartermijn bepalen. Zo zou het afwijzen van een kandidaat een criterium kunnen zijn om de gegevens verwijderen. Met een anonimiseringsscript kan je automatische procedures inrichten waarmee je het bewaren en tijdig wissen van gegevens volgens jouw interne richtlijnen regelt.

Voor een voorbeeld van een privacy statement klik op de button hieronder.

Binnen één werkdag in uw mailbox

Snel online informatie aanvragen

Wilt u een informatie met betrekking tot een nieuwe website, het registreren van een domeinnaam of één  van onze andere diensten? Vraag dan vrijblijvend een op maat gemaakte offerte aan bij vir2biz.

Ja, ik wil graag meer informatie