Ik heb inmiddels diverse ondernemers gesproken over het opstellen van privacyverklaringen. Hieronder staat mijn ervaring over hoe ondernemers met de privacyverklaring omgaan.
Zelf opstellen of laten opstellen?
Een ondernemer die voor zijn werk vaak achter de computer zit, stelt in veel gevallen zelf een privacyverklaring op. Dat geldt ook voor ondernemers met ‘bureaupersoneel’. Denk hierbij aan ict’ers, boekhouders en de iets grotere ondernemingen.
Hoe minder een ondernemer achter de computer zit voor zijn werk, hoe eerder hij een privacyverklaring wil laten opstellen. Die gaat niet zelf aan de slag. Denk hierbij aan winkels en restaurants.
Uiteraard speelt het hebben van tijd, geld en zin ook altijd een rol.
Het laten controleren van een privacyverklaring
Een ondernemer die een privacyverklaring zelf opstelt, wil deze verklaring vaak wel door mij laten controleren. Dit heeft voor ondernemers echter een nadeel.
Het controleren van een privacyverklaring kost mij evenveel, en soms nog meer tijd, dan wanneer ik zelf een verklaring voor ze opstel. De kosten voor het opstellen en voor het controleren van een privacyverklaring zijn dan ook gelijk.
Het nadeel voor de ondernemer die zelf een privacyverklaring opstelt, maar door mij laat controleren? Naast de kosten voor het controleren, kost het de ondernemer ook nog eens meer tijd. Hij gaat namelijk eerst zelf aan de slag.
Het voordeel voor de ondernemer die zelf een privacyverklaring opstelt? De ondernemer heeft dan al wel over de privacy in zijn onderneming nagedacht. Hij heeft al meer kennis en bewustzijn van privacy.
Voorkom deze fouten als je zelf een privacyverklaring opstelt
In de privacyverklaringen die ondernemers zelf hebben opgesteld, ben ik diverse grotere en kleinere ‘fouten’ tegengekomen. Een aantal van deze ‘fouten’ heb ik hieronder neergezet.
Een ondernemer noemt bij contactgegevens zichzelf Functionaris Gegevensbescherming (FG). Deze ondernemer is echter niet verplicht om een FG aan te stellen. Hij is dus in beginsel ook geen FG. Maar doordat hij zichzelf wel zo noemt, zijn alle verplichtingen die de AVG op een FG legt, van toepassing op hem. De FG moet zich ook aanmelden bij de Autoriteit Persoonsgegeven. Kortom, de ondernemer nam meer verplichtingen op zich dan nodig was.
De bewaartermijnen van de persoonsgegevens worden niet genoemd. Er wordt opgenomen dat ze bewaard worden zolang dat nodig is. Vaak is dat omdat de ondernemer geen idee heeft hoe lang hij bepaalde persoonsgegevens mag bewaren (of wil bewaren). Zorg ervoor dat je deze termijnen concreter neerzet. Ik help de ondernemer daarbij.
Niet alle rechten van de betrokkenen zijn in de privacyverklaring opgenomen. Het zijn niet veel rechten, maar deze rechten moeten er wel instaan.
De privacyverklaring wordt voor akkoord aangeboden. Dit is niet nodig. De privacyverklaring is puur een verklaring waarin u aangeeft hoe u met persoonsgegevens omgaat. Het is geen overeenkomst. De betrokkene hoeft er dus niet mee akkoord te gaan. Een overeenkomst is vaak ook nog onderhandelbaar. Hoe u met de persoonsgegevens omgaat is dat waarschijnlijk niet.
Over Geert Polders, auteur van dit artikel
Ik ben ruim 10 jaar jurist en al bijna 7 jaar zelfstandig ondernemer. Ik ben in mijn eigen rechtspraktijk begonnen met het geven van juridisch advies aan en procederen voor consumenten en ondernemers. Sinds januari 2018 richt ik mij volledig op ondernemers, met name op zzp'ers en mkb'ers. Mijn eigen ervaring als ondernemer is daarbij van grote waarde. Mijn cliënten geven ook aan dat zij merken dat ik ervaring als ondernemer heb. Door jaarlijkse scholing houd ik mijn kennis up-to-date.
Meer over Geert Polders? Bezoek de website.