Spaanse voetbalfans ontdekten recent dat ze werden gebruikt als auteursrechtspionnen: hun app van de Liga de Fútbol Profesional meldde in de privacyverklaring dat hij op de achtergrond luisterde naar voetbaluitzendingen, om zo ongelicentieerde uitzendingen in het café te kunnen opsporen. Pijnlijk, maar het moest van de AVG. En zo zijn er nog meer dingen die je in je privacyverklaring moet zetten van deze nieuwe wet. We zetten er een paar op een rijtje.
1. Juridisch taalgebruik is verboden
Privacyverklaringen zijn zo saai omdat iedereen ze door juristen laat schrijven. Dat komt vast omdat het een juridisch vereist document is, maar het is echt een probleem. Zeker onder de AVG, die namelijk expliciet eist dat eenvoudig en duidelijk taalgebruik wordt gevoerd dat voor je doelgroep begrijpelijk is. Daar hebben taalwetenschappers een classificatie voor ontwikkeld, en die heet het Europees Referentiekaders Talen, waarbij niveau B1 of B2 is wat de AVG bedoelt.
In een oude privacyverklaring zou je dit zeggen:
Met uw aparte toestemming ontvangt u onze wekelijkse nieuwsbrief over relevante actualiteiten.
Nu zeg je dit:
Je kunt je voor onze nieuwsbrief opgeven. We sturen je dan elke week nieuwtjes per mail.
2. Je uitleg moet concreet en volledig zijn
Een favoriete truc van privacyverklaringschrijvers is lekker wollig omschrijven wat er ongeveer gebeurt. Zo klinkt het geruststellend maar kun je achteraf wel zeggen “Er stond toch dat we je gebruikservaring gingen optimaliseren, snap je dan niet dat we bedoelen dat we je interesses in detail vastleggen om je een hogere hypotheek aan te kunnen smeren?”
De AVG eist duidelijkheid. Wat doe je precies, en waarom dan. Wat je niet expliciet en letterlijk hebt genoemd, mag niet. In het voorbeeld van die nieuwsbrief komt er dus iets bij:
In elk bericht zitten onzichtbare codes. Hiermee kunnen wij bijhouden hoe veel mensen onze nieuwsbrief lezen en op welke berichten mensen klikken.
Zonder deze uitleg is het verboden om nog bij te houden hoe veel opens of clicks je nieuwsbrief krijgt.
3. Je moet per onderwerp precies zeggen wat, hoe en hoe lang
Duidelijkheid wil ook zeggen dat je precies opschrijft wat je doet, waarom je dat mag, hoe je dat doet en hoe lang. In het jargon: doel, grondslag, uitvoering en bewaartermijn. Je bent vrij in dat doen zoals je dat wilt, maar het moet er wel staan. Een voorbeeld:
Als je je opgeeft geeft voor onze nieuwsbrief, dan sturen wij je wekelijks nieuwtjes, tips en aanbiedingen vanuit ons bedrijf. Je kunt deze toestemming op ieder moment intrekken. We bewaren je e-mailadres en geanonimiseerde informatie over leesgedrag zolang je lid bent. Die informatie bewaren we daarna nog drie maanden voor onze kwartaaloverzichten, daarna gooien we alles weg.
Op verzoek zetten we je e-mailadres op een zwarte lijst, zodat je nooit meer nieuwsbrieven van ons krijgt. Deze zwarte lijst houden we totdat jij vraagt om er weer afgehaald te worden (zoals wanneer je je apart opgeeft voor een nieuwsbrief).
4. Je moet mensen wijzen op hun rechten
Onder de AVG hebben mensen rechten, zoals inzage in hun gegevens en deze te laten aanpassen. Dat moet je allemaal expliciet uitleggen in je privacyverklaring. Zet er ook meteen bij hoe ze dat kunnen doen, dat scheelt weer vragen bij je klantenservice:
Je hebt het recht een kopie te krijgen van alle persoonlijke informatie die we van je hebben. Als je daar fouten in ziet, zullen wij die aanpassen. En verouderde informatie gooien we meteen weg als je het vraagt.
5. Mensen moeten kunnen klagen
Je moet mensen expliciet wijzen op hun klachtrecht en uitleggen waar ze dan bij jou terecht kunnen. Dat moet dus ook weer letterlijk in die privacyverklaring. En nee, langskomen op maandag tussen 9:30 en 11:30 of een brief sturen is niet genoeg als enige optie.
Ben je het niet eens met hoe wij met je privacy omgaan, stuur ons dan een mailtje naar privacy@example.com. Wij helpen je graag.
En komen mensen er niet uit met jou, dan mogen ze een klacht over je indienen bij de Autoriteit Persoonsgegevens. Dat is een wettelijk recht:
Kom je er met ons niet uit, dien dan een klacht in bij de toezichthouder. Dat is in Nederland de Autoriteit Persoonsgegevens, zie www.autoriteitpersoonsgegevens.nl voor meer informatie.
6. Stop met akkoord vragen op je privacyverklaring
Een van mijn grootste ergernissen is al jaren dat mensen akkoord vragen op privacyverklaring. Nergens voor nodig. Dit document is een dienstmededeling, een bijsluiter. Zo werken wij. Akkoord daarop is niet nodig. Als je al ergens akkoord op nodig hebt – toestemming of opt-in dus – dan moet je dat sowieso apart en expliciet vragen.
Ga dus je hele privacyverklaring door: staat daar ergens in “u geeft toestemming voor …”? Dan doe je het fout. Vraag die toestemming apart en zet in de privacyverklaring “Wanneer u toestemming geeft voor”. Dan is het uitleg.
Natuurlijk moet je mensen wijzen op je privacyverklaring wanneer ze gegevens aan je geven. Maar dat mag ook echt met gewoon een zin, zoals "Je privacy staat bij ons voorop. Lees in onze privacyverklaring wat wij doen met je persoonlijke informatie."