De privacyverklaring: moet ik mijn klanten écht alles vertellen?

Snapchat is in mei 2014 door de Federal Trade Commission (FTC) op de vingers getikt voor het onvoldoende transparant zijn naar haar gebruikers. Snapchat is een app waarmee gebruikers berichtjes naar elkaar kunnen verzenden die vervolgens weer ‘verdwijnen’. Deze verzonden berichten bleken echter toch niet écht te verdwijnen, maar konden hersteld worden met verschillende tools (het verdwijnen van berichten in dit digitale tijdperk lijkt mij overigens al vrij dubieus). Daarnaast misleidde Snapchat haar gebruikers ook nog door méér persoonsgegevens te verzamelen dan werd aangegeven. Bovendien was Snapchat niet eerlijk over de toegepaste beveiligingsmaatregelingen.

De FTC liet weten dat er een schikking is getroffen met Snapchat. Snapchat dient transparant naar haar gebruikers te zijn én een uitgebreid privacyprogramma te implementeren welke de komende 20 jaar door een toezichthouder jaarlijks gecontroleerd zal worden.

Allemaal leuk en aardig, maar moet je als bedrijf dan per se alle persoonsgegevens opsommen die je van je klanten verzamelt en moet je óók aangeven wat ermee gebeurt? Jazeker dit moet, ook al maak je niet actief gebruik van alle verzamelde persoonsgegevens. In het bezit zijn van de gegevens is namelijk al voldoende.

Het is bijvoorbeeld niet de bedoeling dat er locatiegegevens van gebruikers worden verzameld, maar dat dit niet wordt aangegeven. Als verantwoordelijke, dus als verzamelaar of gebruiker van de gegevens, heb je een informatieplicht richting de betrokkenen (de personen van wie er persoonsgegevens verzameld worden). Deze plicht is al vastgelegd in onze huidige wet, maar met de komst van de Europese Privacyverordening zal deze informatieplicht alleen nog maar strenger worden.

Wat houdt zo een informatieplicht dan in? Het idee van de informatieplicht is dat er transparant aan de betrokkenen wordt aangegeven welke persoonsgegevens worden verzameld enwaarvoor. Aan deze informatieplicht zal in de meeste gevallen worden voldaan door het hanteren van een privacyverklaring, waarnaar verwezen kan worden op het moment van het verzamelen van persoonsgegevens.

Waar moet een privacyverklaring aan voldoen? Een privacyverklaring dient kernachtig, transparant, duidelijk en toegankelijk te zijn. Dit houdt niet in dat je verplicht moet vertellen in welke systemen persoonsgegevens worden verwerkt, in hoeveel databases het staat opgeslagen etc. Zo in detail hoeft het niet te gaan, zolang het voor de gebruikers maar duidelijk is wat er met hun gegevens gebeurt.

Wat moet er dan wel in een privacyverklaring staan? Dat een privacyverklaring duidelijk moet zijn dat ligt voor de hand, maar wat er dan daadwerkelijk in moet staan is vaak de vraag. In de (huidige versie van de) Europese Privacyverordening wordt opgesomd welke informatie de verantwoordelijke in ieder geval aan de betrokkenen moet verschaffen:

  • De identiteit en de contactgegevens van de verantwoordelijke (dus de naam, het adres etc. van een bedrijf maar óók van de data protection officer);
  • De doelen van de gegevensverwerking (bijvoorbeeld: ‘wij verzamelen uw naam en adres bij het plaatsen van een bestelling, zodat wij de door u bestelde producten naar u kunnen verzenden’) en de genomen beveiligingsmaatregelen;
  • Termijn dat de gegevens bewaard worden;
  • De rechten van de betrokkenen (inzage- en correctierecht, maar ook het recht om persoonsgegevens te laten verwijderen en het recht om een klacht in te dienen bij een toezichthouder);
  • Informatie over de ontvangers van de gegevens (dus alle derde partijen naar wie de gegevens worden doorgestuurd);
  • Indien er gebruik wordt gemaakt van profiling (aan de hand van verzamelde gegevens een profiel van iemand maken) dan dient dit ook gemeld te worden.

Deze informatieplicht is uiteraard bij elke gegevensverwerking van belang, maar al helemaal indien de gegevens worden gebruikt op basis van ondubbelzinnige toestemming van de gebruikers. Op het moment dat deze toestemming wordt verkregen dient aangegeven te worden waarvoor een gebruiker toestemming geeft. Als deze uitleg onvolledig blijkt te zijn dan is er geen ondubbelzinnige toestemming verkregen, en dan worden gegevens onrechtmatig verwerkt.

Snapchat komt er momenteel nog goed vanaf aangezien er geen boete is opgelegd. Voor alle bedrijven die hun dienst aanbieden binnen de EU en zich niet houden aan de regels van de Europese Privacyverordening wanneer deze is ingetreden, zal de kans op een boete niet ondenkbaar zijn. Er kunnen dan namelijk boetes opgelegd worden oplopend tot €100.000.000,-, of vijf procent van de jaarlijkse omzet. Het bedrag dat hoger is zal opgelegd worden. Het is daarom wijsheid nog eens een kritische blik op de privacyverklaring te (laten) werpen, voordat je aan de slag gaat met persoonsgegevens.


Dit artikel verscheen 5 januari 2015 op de blog van ICTRecht en is met toestemming van de auteur op ISP Today gepubliceerd.

Over Lisette Meij

Lisette Meij is juridisch adviseur bij ICTRecht. Bij ICTRecht houdt Lisette zich voornamelijk bezig met alle juridische aspecten rondom privacy en Big Data. Naast juridisch adviseur is zij opleidingscoördinator.