De “Ik deel geen gegevens met derden” - onzin uit de privacyverklaring

Onder de Algemene Verordening Gegevensbescherming (AVG) rust op een ondernemer een informatieplicht. Onderdeel van deze plicht is dat de ondernemer betrokkenen informeert over het delen van persoonsgegevens met derden.

Bij Spaans&Spaans zien we heel vaak in privacyverklaringen staan dat het desbetreffende bedrijf “geen gegevens met derden deelt”.


Misschien geef jij in jouw eigen privacyverklaring hetzelfde aan. De redenering hierachter is veelal dat je het gevoel hebt op safe te spelen door aan te geven dat je geen persoonsgegevens doorstuurt: jij gaat goed om met de privacy van jouw klant! Bovendien begrijpen ondernemers vaak niet goed wanneer ze persoonsgegevens delen met derden. Het is dan wel zo makkelijk om simpelweg aan te geven dat je dit niet doet, toch? Het tegendeel is echter waar. Als jij in jouw privacyverklaring aangeeft dat je geen gegevens deelt met derden, leg jij jezelf een verplichting op om dit vooral niet te doen. Je mag dan ook echt geen persoonsgegevens aan derden verstrekken! Bovendien deel je bijna altijd wel gegevens met derden. Denk maar eens aan jouw it-leverancier, de hosting van jouw website, CRM systeem…

Hoe doe je het wel juist in je privacyverklaring?

Indien je gegevens aan een aantal vaste derde partijen verstrekt, is het aan te raden om deze partijen of de diensten waarvan jij gebruikt maakt op te nemen in jouw privacyverklaring. Een voorbeeld is de boekhouder, of de hosting van jouw website. Is het niet precies duidelijk aan welke derde partijen jij gegevens zal verstrekken, dan kan je volstaan met een meer algemene omschrijving van die partijen waarvoor het voorzienbaar is dat jij aan deze derden gegevens zal verstrekken (of verstrekt). Een voorbeeld is dat jij gegevens verstrekt aan ‘onderaannemers voor de dienstverlening’. Daarnaast is het aan te bevelen om expliciet aan te geven in jouw privacyverklaring wanneer je gegevens niet verstrekt aan derden. Een voorbeeld is dat jij gegevens niet verstrekt aan derden ‘voor commerciële doeleinden’.

Let daarbij altijd goed op waar deze derden zich bevinden. Zijn deze derden gevestigd buiten de Europese Economische Ruimte (EER)? Zorg er dan voor dat deze derden zich bevinden in een door de Europese commissie aangewezen adequaat land (en benoem dit ook in jouw privacyverklaring).

Wat moet er staan in een verwerkersovereenkomst?

Het is een feit: je verstrekt al snel gegevens aan derden. Met verwerkers moet je in ieder geval afspraken maken, die je het beste in een zogenaamde verwerkersovereenkomst kan opnemen. In deze overeenkomst moet je een aantal dingen op nemen die door de wetgever verplicht zijn gesteld:

  • Het onderwerp van de overeenkomst

  • De duur van de verwerking

  • De aard en het doel van de verwerking

  • Het soort persoonsgegevens en categorieën van betrokkenen

  • De rechten en plichten van de verwerkingsverantwoordelijke

  • Dat de persoonsgegevens uitsluitend verwerkt worden op basis van schriftelijke instructies van de verwerkingsverantwoordelijke

  • Dat de tot verwerking van de persoonsgegevens gemachtigde personen vertrouwelijkheid in acht moeten nemen

  • Dat de verwerker een passend beveiligingsniveau hanteert

  • Dat de verwerker alleen met schriftelijke toestemming een sub-verwerker mag inschakelen en wanneer dit gebeurt, er een overeenkomst wordt gesloten tussen de verwerker en sub-verwerker waarin op zijn dezelfde verplichtingen worden opgelegd als die welke de verwerker opgelegd heeft gekregen van de verwerkingsverantwoordelijke

  • Dat de verwerker bijstand verleent aan de verwerkingsverantwoordelijke bij

    verzoeken van betrokkenen met betrekking tot hun rechten

  • Dat de verwerker na afloop van de verwerking alle persoonsgegevens wist of terugbezorgt, waaronder bestaande kopieën

  • Dat de verwerker datalekken onverwijld moet melden aan de

    verwerkingsverantwoordelijke

  • Dat de verwerker moet meewerken aan een gegevenseffectenbeoordeling

  • Dat de verwerker meewerkt aan audits en inspecties

Hulp nodig bij het opstellen van jouw privacyverklaring en verwerkersovereenkomst?

Wij helpen je graag om een juridisch waterdichte privacyverklaring en verwerkersovereenkomst op te stellen, zodat je in ieder geval zeker weet dat alles goed geregeld is.



*Deze blog geeft geen antwoord op de vraag of jouw gegevensverstrekking aan derden wel gerechtvaardigd is.