Hoewel ontwikkelaars van apps en websites hun best doen privacyverklaringen zo makkelijk mogelijk leesbaar te maken, staan er ook vaak moeilijke woorden in. In dit blog lichtten we er een aantal toe. Denk aan woorden als: geautomatiseerde besluitvorming, third party cookies en grondslag. Zo kun je de privacyverklaring beter begrijpen.
Een bewaartermijn is hoe lang de organisatie jouw persoonsgegevens bewaart. Persoonsgegevens mogen namelijk niet langer dan nodig worden bewaard. Dat staat in de Algemene Verordening Gegevensbescherming (AVG). Het bedrijf bepaalt waarvoor zij jouw gegevens willen gebruiken en hoelang zij daarvoor jouw gegevens moeten bewaren.
Een derde is een partij die buiten het contact staat tussen jou en de organisatie die jouw gegevens gebruikt. In principe heeft een derde partij niets met jouw gegevens te maken. Het kan wel dat de derde partij jouw persoonsgegevens verwerkt. Zie ‘verwerkingsverantwoordelijke’.
Cookies zijn tekstbestandjes die op je computer worden opgeslagen. Dit doet de website die je bekijkt en jij geeft er ook toestemming voor. Met de cookies herkent de website jouw computer tijdens je bezoek aan de website.
Geautomatiseerde besluitvorming gebeurt wanneer bedrijven besluiten nemen over mensen op basis van automatisch verwerkte gegevens. De informatie van de persoon is verwerkt tot een profiel. De computer maakt op basis van het profiel een inschatting hoe deze persoon zich in de toekomst gaat gedragen. Zo kan de computer besluiten dat jij bijvoorbeeld wel of geen lening ontvangt na een online ingediende lening. Geautomatiseerde besluitvorming is meestal verboden.
Een gerechtvaardigd belang houdt in dat er tussen jou en de organisatie die jouw gegevens verwerkt een bepaalde relatie is waarvoor jouw persoonsgegevens nodig zijn. Er is bijvoorbeeld een relatie als je klant of medewerker bent. Om jou goede diensten te leveren, heeft een organisatie gegevens nodig. Bijvoorbeeld om een pakketje toe te sturen dat je hebt besteld of je salaris te storten. In dat geval heeft de organisatie ‘een gerechtvaardigd belang’ jouw gegevens te verwerken.
Een groepsmaatschappij is een bedrijf dat in een groep zit van meerdere organisaties.
Bedrijven moeten in een privacyverklaring vermelden op welke grondslag zij persoonsgegevens verwerken. Dat betekent dat bedrijven de reden beschrijven. In de AVG zijn zes redenen beschreven waarop bedrijven persoonsgegevens mogen verwerken. Een reden kan zijn dat jij toestemming hebt gegeven, dat het wettelijk verplicht is of dat het voor bedrijven noodzakelijk is persoonsgegevens te verwerken om jou een dienst te leveren (zie ‘gerechtvaardigd belang’).
Een privacyverklaring wordt ook wel privacy statement, privacy policy of privacybeleid genoemd. De termen betekenen verschillende dingen, maar bedrijven bedoelen hetzelfde ermee. In een privacyverklaring staat beschreven welke gegevens een bedrijf van je verzamelt, en hoe en waarom het bedrijf deze verwerkt.
Wanneer een organisatie iets met persoonsgegevens doet, kun je dit ook verwerken noemen. Dit kan dus zijn: persoonsgegevens opslaan in de cloud, e-mails versturen, offertes maken of callcenters die jou een vraag stellen. Als jij jouw geboortedatum ergens invult en het bedrijf slaat dit op, dan verwerkt hij jouw persoonsgegevens. Het is niet zo dat het bedrijf dat jou om persoonsgegevens vraagt, ook altijd de persoonsgegevens verwerkt. Er zijn ook bedrijven die op vraag van andere bedrijven persoonsgegevens verwerken. Hier lees je meer over bij ‘verwerkingsverantwoordelijke’.
Bedrijven gebruiken vaak diensten van andere organisaties om persoonsgegevens van klanten of medewerkers op te slaan of te verwerken. Denk maar aan een clouddienst (OneDrive, Google Drive enzovoort) waar gegevens opgeslagen staan. Of iemand die de boekhouding doet. Die ‘andere’ organisaties verwerken dan de persoonsgegevens. Maar de organisatie die jou om je persoonsgegevens vraagt, is de verwerkingsverantwoordelijke. En daarmee is dit bedrijf verantwoordelijk voor alles wat met de verwerking te maken heeft.
Lees ook
Wat betekent een CE-markering voor jou?
Medische dossier delen met organisaties: ja of nee?