Lezersvraag: “Hebben wij als stichting ook een privacyverklaring (privacy statement) nodig?”

Vanaf februari 2019 kan je -anoniem en gratis- jouw juridische vraag aan ons stellen via ons contactformulier of per e-mail aan contact@spaans-spaans.com, met als onderwerp “Lezersvraag”. Per week halen we uit alle ingezonden vragen een paar vragen eruit die we online zullen beantwoorden in de vorm van een blog. Waarom? Wij vinden het leuk om te zien wat voor juridische vragen mensen bezighouden en voor jou en anderen kan het wellicht een ‘aha’ moment opleveren. Let wel: het gegeven antwoord is niet bedoeld als een sluitend juridisch advies. Voor juridisch advies (een ‘a tot z’ behandeling van jouw vraagstuk) kan je natuurlijk ook altijd bij ons terecht.


Antwoord van een jurist:

Deze week ontvingen we van een stichting de vraag of ook zij verplicht zijn om “zo’n privacy ding” op hun website te plaatsen. Het antwoord is: “ja, hoogstwaarschijnlijk wel”. Ook als stichting (of vereniging) verwerk je immers persoonsgegevens en onder de AVG ben je op dat moment verplicht om mensen hieromtrent te informeren. Deze informatieplicht wordt in de praktijk veelvuldig “vertaald” in het plaatsen van een privacystatement op de website.

In jullie privacystatement informeren jullie alle betrokkenen over hun rechten, over wie jullie zijn, de grondslagen en doeleinden van de verwerking, de bewaartermijnen, derde partijen met wie jullie gegevens delen, etcetera.


AVG: verwerken wij als stichting persoonsgegevens?

Voor de volledigheid: persoonsgegevens is alle informatie die een persoon identificeert of kan identificeren (“te herleiden is tot een persoon”). Bij een stichting kun je onder andere denken aan gegevens over donateurs (naam, adres, telefoonnummer). We zien nog te vaak dat organisaties onder de illusie leven dat zij “helemaal geen persoonsgegevens verwerken”. Dit is - zoals we al eerder omschreven - een klassieke misvatting, want persoonsgegevens verwerken, doe je al snel onder de AVG. Het is begrijpelijk waarom velen toch het idee hebben dat ze geen persoonsgegevens verwerken. De term verwerking roept namelijk het gevoel op, alsof we actief bezig zouden moeten zijn met de handel in data. De term verwerken onder de AVG vereist echter helemaal geen actieve handeling: het simpelweg onder je hebben van persoonsgegevens, is voldoende. Het is dus niet genoeg om tegen jezelf te zeggen: ‘Ach, die lijst met e-mail adressen die ik onder mij heb waarvoor de betrokkenen geen toestemming hebben gegeven, maak mij niet tot een verwerker zolang ik er niks mee doe.’ Dat is dus fout, omdat je persoonsgegevens verzamelt of (waarschijnlijk) hebt opgeslagen.

Waar moet de privacyverklaring op onze website staan?

Je moet de privacyverklaring in eenvoudige en duidelijke taal opstellen (het liefst dus met niet al te veel juridisch jargon) zodat deze voor een ieder begrijpelijk is. Bovendien moet de verklaring eenvoudig te vinden zijn voor een betrokkene. Tip: plaats jullie verklaring in de footer van jullie website (een hyperlink naar jullie privacystatement) zodat deze op elke webpagina zichtbaar is. Een privacystatement mag in ieder geval niet “verborgen” zijn in jullie algemene voorwaarden.

Hebben wij als stichting een verwerkingsregister nodig?

Zijn jullie er nu? Nog niet helemaal. In veel gevallen hebben jullie als stichting inderdaad een privacyverklaring nodig en het is dan ook belangrijk dat jullie deze hebben laten opstellen, maar hiermee zijn jullie er nog niet. Mogelijk dienen jullie aan een veelheid van andere vereisten te voldoen, zoals bijvoorbeeld het bijhouden van een register (dit kan via privacyblok), het aanstellen van een Privacy Officer, het opstellen van verwerkersovereenkomsten, het aanpassen van je Cookiebeleid (kijk eens naar cookiebot), vragen om toestemming etc. Bedenk ook dat het voldoen aan de AVG niet iets ‘eenmaligs’ inhoudt. Jullie dienen steeds weer jullie interne privacybeleid te bekijken en mogelijk te herzien.