De AVG, of Algemene Verordening Gegevensbescherming, is een uitgebreide Europese wetgeving die de bescherming van persoonsgegevens regelt. Het vereist dat organisaties transparant zijn over hoe ze persoonsgegevens verzamelen, verwerken en gebruiken. Hier zijn de belangrijkste elementen die in een privacybeleid volgens de AVG moeten worden opgenomen:
- Identiteit van de verwerkingsverantwoordelijke: Dit is de organisatie of entiteit die verantwoordelijk is voor het verzamelen en verwerken van persoonsgegevens. Vermeld de naam en contactgegevens van de verwerkingsverantwoordelijke.
- Contactgegevens van de functionaris voor gegevensbescherming (indien van toepassing): Als je verplicht bent om een functionaris voor gegevensbescherming aan te stellen, moet je hun contactgegevens vermelden.
- Doel van gegevensverwerking: Leg uit waarom je persoonsgegevens verzamelt en wat je ermee doet. Dit kan bijvoorbeeld het leveren van diensten, verwerken van bestellingen of het verzenden van nieuwsbrieven omvatten.
- Rechtsgrondslag voor gegevensverwerking: Verduidelijk welke juridische gronden je gebruikt om persoonsgegevens te verwerken. Bijvoorbeeld, toestemming van de betrokkene, uitvoering van een contract, wettelijke verplichting, gerechtvaardigd belang, enz.
- Categorieën van persoonsgegevens: Vermeld welke soorten persoonsgegevens je verzamelt. Dit kan onder meer namen, e-mailadressen, fysieke adressen, IP-adressen en meer omvatten.
- Bewaartermijn van gegevens: Geef aan hoe lang je persoonsgegevens bewaart voordat ze worden verwijderd of geanonimiseerd. Dit moet in overeenstemming zijn met het doel van de gegevensverwerking.
- Rechten van betrokkenen: Leg uit welke rechten betrokkenen hebben onder de AVG, zoals het recht op inzage, rectificatie, verwijdering, beperking van verwerking, gegevensoverdraagbaarheid en bezwaar.
- Toestemming: Als je vertrouwt op toestemming voor gegevensverwerking, moet je uitleggen hoe betrokkenen toestemming kunnen geven, hoe ze deze kunnen intrekken en wat dit betekent voor hun gegevens.
- Gegevensoverdracht: Als je persoonsgegevens overdraagt aan derden (bijv. serviceproviders, partners), moet je dit vermelden en uitleggen hoe je de gegevens beschermt.
- Beveiligingsmaatregelen: Beschrijf de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens te beschermen tegen ongeoorloofde toegang, verlies of diefstal.
- Klachten: Bied informatie over hoe betrokkenen klachten kunnen indienen bij de toezichthoudende autoriteit voor gegevensbescherming (in Nederland is dit de Autoriteit Persoonsgegevens).
- Wijzigingen in het privacybeleid: Zorg ervoor dat je uitlegt hoe je betrokkenen op de hoogte zult stellen van eventuele wijzigingen in je privacybeleid.
- Gegevensoverdracht buiten de EU: Als je persoonsgegevens overdraagt buiten de Europese Unie, moet je de mechanismen voor gegevensoverdracht vermelden, zoals de EU-VS Privacy Shield of standaard contractuele clausules.
Dit is geen uitputtende lijst, maar het zijn de essentiële elementen die moeten worden opgenomen in een AVG-conform privacybeleid. Elk privacybeleid moet worden aangepast aan de specifieke activiteiten en gegevensverwerking van de organisatie. Het is raadzaam om juridisch advies in te winnen om ervoor te zorgen dat je privacybeleid aan alle vereisten voldoet. Er zijn ook WordPress-plugins die het schrijven van een AVG privacybeleid kunnen vergemakkelijken, lees verder.