Privacyverklaring en grondslagen voor verwerken van persoonsgegevens

De privacyverklaring

Meestgestelde vragen

Waarom een privacyverklaring?

Als vereniging ben je verplicht om betrokkenen te informeren over de manier waarop je omgaat met hun persoonsgegevens. Deze informatie kan beschikbaar worden gesteld via een zogeheten privacyverklaring. De informatieplicht geldt in principe voor alle verwerkingen binnen de vereniging, die - als het goed is - zijn vastgelegd in het verwerkingsregister van de vereniging (zie een eerdere nieuwsbrief daarover). Een paar voorbeelden van doelgroepen die je zoal moet informeren:

-          leden (over verwerkingen in verband met het lidmaatschap);

-          websitebezoekers (bijvoorbeeld over de wijze waarop je hun surfgedrag bijhoudt);

-          sporttalent (bijvoorbeeld over de wijze waarop de vereniging hen monitort).

Wat neem je op in de privacyverklaring?

In de privacyverklaring moet onder meer de volgende informatie worden opgenomen:

-          de doeleinden waarvoor de vereniging persoonsgegevens verwerkt;

-          hoe lang persoonsgegevens worden bewaard (of de criteria die de vereniging hanteert voor het vaststellen van de bewaartermijn);

-          aan welke (categorieën) derden persoonsgegevens eventueel worden doorgegeven;

-          de vermelding dat de betrokkene een gegeven toestemming voor een verwerking op ieder moment mag intrekken; en

-          de vermelding dat de betrokkene een verzoek kan indienen tot inzage, correctie, verwijdering van persoonsgegevens, en het recht heeft om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Verkrijg je de persoonsgegevens via een derde in plaats van rechtstreeks via de betrokkene, dan moet je tevens meedelen van welke bron de gegevens afkomstig zijn, en welke categorieën persoonsgegevens het betreft.

Tip: wees duidelijk

Niemand is geholpen met een vage bewoording dat de vereniging "bepaalde informatie" "mogelijk" voor "kwaliteitsdoeleinden" gebruikt. Het lijkt aantrekkelijk om veel ruimte te creëren voor allerlei vormen van gebruik, maar uiteindelijk wekken dit soort woorden vooral argwaan en leiden ze tot onduidelijkheid.

Bekijk een model privacyverklaring hier.


 

Hoe stel je de privacyverklaring beschikbaar?

Je informeert de betrokkene in principe voorafgaand aan het vastleggen van zijn of haar persoonsgegevens. We bespreken hier twee veelvoorkomende situaties.

Voorbeeld 1: inschrijving als lid/deelnemer

Schrijft iemand zich online in als verenigingslid of als deelnemer aan een wedstrijd/evenement, verwijs dan duidelijk op het formulier naar de privacyverklaring met een hyperlink. Bijvoorbeeld: "Onze vereniging verwerkt uw persoonsgegevens conform de privacyverklaring". Schrijft iemand zich ter plaatse in (dus niet online), verwijs dan op het papier naar de privacyverklaring en leg deze klaar voor eventuele raadpleging.

Voorbeeld 2: de website

Bezoekers van een website kun je eenvoudig informeren door het plaatsen van een link naar de privacyverklaring onderaan elke sub-pagina van de website. Vraag bezoekers (voor bepaalde delen) om zich te registreren met een account, verwijs dan nogmaals uitdrukkelijk naar de privacyverklaring (zie voorbeeld 1).

Let op: voor het verstrekken van informatie over de plaatsing van cookies gelden aparte regels. Deze regels worden niet in deze nieuwsbrief besproken.

Kan de vereniging verwijzen naar één algemene privacyverklaring?

Ja, maar let er op dat de privacyverklaring een zorgvuldige toelichting geeft voor alle verwerkingen waarop de verklaring betrekking heeft. Ter illustratie: gebruik je op de website één privacyverklaring voor zowel websitebezoekers als leden, dan kun je niet volstaan met informatie die slechts betrekking heeft op het gebruik van de website. 

Helaas is het alleen mogelijk om vanuit Nederland een reactie te plaatsen.