‘Wij nemen uw privacy heel serieus.’ Ja, ja…

De informatieverplichting op grond van de AVG; wat gaat inmiddels goed, wat kan beter

Privacy verklaringen met bovenstaande zin en waarin vervolgens vrijwel letterlijk de tekst van artikel 13 AVG (informatieverplichting) wordt opgenomen, inclusief de nodige technisch-juridische termen, zijn er gelukkig steeds minder. Want uit dit letterlijk citeren spreekt welbeschouwd dat de (verwerkingsverantwoordelijke) organisatie het niet echt belangrijk vindt om haar klanten, inwoners, patiënten etc. te informeren zodat zij een bewuste keuze kunnen maken of zij hun privacybelangen aan de organisatie willen toevertrouwen, of dat zij in ieder geval meer regie over hun privacy hebben. Of het maakt duidelijk dat de organisatie niet weet hoe aan die informatieplicht vorm te geven, dat kan ook.

Transparant, echt informeren

Maar de focus verschuift steeds meer naar de plicht om transparant informatie te verstrekken. Artikel 12 lid 1 geeft aan dat de op grond van artikel 13 (en 14) te verstrekken informatie, beknopt, transparant, begrijpelijk en makkelijk toegankelijk dient te zijn en in eenvoudige taal moet zijn opgesteld, zeker als de informatie voor een kind bestemd is.

In genoemd artikel wordt ook, niet uitputtend, een aantal manieren van informatie verstrekking genoemd zoals in ieder geval schriftelijk of met andere middelen en wanneer dit passend is, met elektronische middelen. De boodschap daarvan is dat je voor elke situatie dat middel dient te kiezen dat het meest geschikt is om de klanten, inwoners e.d. – ik zal ze hierna ‘betrokkenen’ noemen – van de informatie over de verwerking van hun persoonsgegevens te voorzien. Hierover later meer.

Waar kort na de inwerkingtreding van de AVG organisaties nog worstelden met de tegenstelling tussen enerzijds de hele trits aan (juridisch-technische) onderwerpen waarover op grond van artikel 13 en 14 informatie moet worden gegeven en anderzijds de vereisten van beknoptheid en eenvoudige taal, zijn er steeds meer privacy verklaringen te zien die in eenvoudige (niveau B1 of B2) taal de voor hun betrokkenen belangrijkste zaken op een rij zetten én daarnaast verwijzen naar een document waarin de onderwerpen van artikel 13 volledig worden uitgewerkt. Een charmante oplossing waarvan zowel de afdeling Communicatie als de privacy-juristen blij worden. De betrokkenen noem ik hier even niet, omdat dat in relatie tot ‘blij’ wat overdreven zou zijn. Van gestandaardiseerde privacy pictogrammen om de informatie te verstrekken is het tot nu toe nog niet gekomen.

Op het vlak van de ‘begrijpelijke en makkelijke toegankelijkheid’ zijn inmiddels ook de nodige stappen gezet. Op sommige websites heeft het onderwerp ‘privacy’ een in het oog springende plek en kunnen onderwerpen, soms via een mooi grafisch element, aangeklikt worden zodat de lezer niet een hele tekst hoeft te lezen, maar alleen datgene waar deze in geïnteresseerd is.

De privacyverklaring op de website; toch vaak niet voldoende

Maar hier valt ook nog een wereld te winnen. Vaak nog is het op een website even zoeken voordat de informatie over het onderwerp privacy kan worden gevonden; vaak in de in kleine letters onder aan de homepage aan te klikken link ‘Privacy’ of erger nog, als onderdeel van de Algemene voorwaarden. Direct in de cookie pop-up met een link verwijzen naar de privacyverklaring is een doeltreffende manier om de informatie makkelijk toegankelijk te maken. Hierbij is het uiteraard uit oogpunt van toegankelijkheid onwenselijk dat pas onderaan de privacyverklaring de mogelijkheid om toestemming voor bepaalde cookies te geven wordt geboden. Het heeft de voorkeur om de privacyverklaring en de plek om toestemming voor cookies te kunnen geven van elkaar te scheiden.

Ook is het mijn indruk dat veel organisaties zich niet realiseren dat een privacyverklaring op de website in het grootste gedeelte van de gevallen niet voldoende is om aan de informatieverplichting te voldoen. Om te beginnen zal een deel van jouw ‘betrokkenen-bestand’ de website namelijk nooit (uit zichzelf) raadplegen. Informatieverstrekking met elektronische middelen zoals artikel 12 noemt, is dus inderdaad niet altijd passend. Als zij wel e-mail gebruiken dan kun je direct bij het eerst contact een link naar de privacyverklaring van de website meesturen. En het is aan te raden een dergelijke link standaard in de e-mails te zetten, zodat je niet een aparte ‘eerste contact e-mailformat’ hoeft te hanteren waarbij ook nog de kans bestaat dat men vergeet deze op het juiste moment te gebruiken. Maar is er sprake van betrokkenen die alleen bellen of die zich alleen bij de balie komen inschrijven, zoals vaak in ziekenhuizen gebeurt, dan zal op dat moment naar de website moeten worden verwezen. En blijkt dan dat de betrokkene de website niet zal raadplegen, dan zal de informatie op papier moeten worden overhandigd c.q. verzonden.

Maar ook bij het (inmiddels) gros van de betrokkenen dat wel de website raadpleegt geldt uiteraard het vereiste dat de informatie ‘bij de verkrijging van de persoonsgegevens’ (of binnen een redelijke termijn of uiterlijk binnen een maand in geval van artikel 14) dient te worden verstrekt. Ook bij hen zal het werkproces zodanig – bijvoorbeeld door bovengenoemde link in de e-mails – moeten worden ingericht dat verzekerd is dat zij daadwerkelijk via de website de privacyverklaring kunnen lezen bij de verkrijging van de persoonsgegevens en bijvoorbeeld niet maanden later.

Met een privacy statement echt een statement maken

Kortom, er zijn inmiddels goede stappen gezet op het gebied van de informatieverstrekking ten aanzien van de verwerking van persoonsgegevens, maar er blijft ruimte voor verbetering. Zoals altijd. Misschien zijn sommige organisaties inmiddels al wel zo ver dat zij na kunnen gaan denken over welk statement zij in hun privacy statement echt willen maken. Niet alles wat op grond van de privacywetgeving mogelijk is, bijvoorbeeld verdere verwerking, hoeft op grond van de organisatievisie en -missie wenselijk te zijn. Zo zou een ziekenhuis kunnen verklaren de gegevens van patiënten niet voor wetenschappelijk onderzoek aan bedrijven ter beschikking te stellen die met de resultaten van dat onderzoek door hun marktpositie en intellectuele eigendomsrechten onevenredig hoge winsten maken. Sommige betrokkenen zullen om die reden juist voor zo’n organisatie kiezen. Hierdoor wordt privacy naast verplichting ook een ‘unique selling point’.

Als jouw organisatie ook hulp kan gebruiken bij het op maat en toegankelijk aanbieden van de juiste informatie, mag je natuurlijk (geheel vrijblijvend) contact met ons opnemen. Bereik mij via mail (irma.smeding@lexdigitalis.nl) of telefonisch (0643279065), dan kijken we samen naar de mogelijkheden.