De informatieplicht is waarschijnlijk niet het eerste waar u in de aanloop naar 25 mei mee aan de slag gaat. Hoewel de inhoud van een privacyverklaring vaak tijdens DPIA’s, inventarisaties voor het verwerkeringsregister, en het opstellen van reglementen naar boven komt, kan de vertaling naar informatie voor de betrokkenen nog veel denkwerk kosten. Traditionele ‘disclaimers’ en algemene voorwaarden zijn duidelijk niet meer genoeg, maar wanneer is een privacyverklaring dan wel goed? De guidelines van de Europese werkgroep van toezichthouders staan vol met concrete tips voor de verschillende vormen waarin de communicatie kan plaatsvinden. Soms vergen die wat meer nadenkwerk, maar ze laten u ook de vrijheid om een voor u werkende vorm te vinden. Wij hebben tussen alle DPIA’s door de tekst uitgeplozen en zetten in deze blog de belangrijkste punten op een rij. Kort samengevat, voor de transparantie-eis geldt hetzelfde als voor alle maatregelen uit de AVG: het aflopen van de checklist van artikel 12, 13 en 14 is niet voldoende, u moet bij de risico’s en uw organisatie passende keuzes maken, en ze kunnen uitleggen.
Voor een organisatie die betrouwbaarheid uit wil stralen is transparantie een onmisbare waarde. Het is, als onderdeel van evenredigheid, een voorwaarde voor een behoorlijke en zorgvuldige verwerking. De praktische uitwerking van transparantie is niet makkelijk. De tips uit deze guidelines banen in ieder geval wat communicatie over privacy betreft alvast een weg, en zullen waarschijnlijk ook van pas komen bij het inrichten van andere boodschappen aan uw stakeholders.
De achterliggende gedachte is dat u het vertrouwen van uw betrokkenen niet zomaar verdient. Zij moeten de verwerking die hen raakt begrijpen, en deze zo nodig kunnen betwisten. Hierbij let de werkgroep op de informatie die u verschaft, uw manier van communiceren, en hoe u ervoor zorgt dat de betrokkene zijn rechten kan uitoefenen. Dit alles stelt de betrokkene in staat om u aansprakelijk te houden en controle over de eigen gegevens te behouden. De toegankelijkheid, en begrijpelijkheid van de informatie is hierbij even belangrijk als de inhoud.
De inhoud is vaak natuurlijk wel het begin van uw communicatie aan de betrokkene. Echte transparantie over uw verwerkingen betekent dat de betrokkene vooraf kan bepalen wat de reikwijdte en gevolgen van een verwerking zijn. De werkgroep verwacht van u dat wat u communiceert een weergave is van de werkelijkheid, en niet alleen een ‘best case scenario’. De hoogste impact op de rechten en vrijheden van de betrokkene moet duidelijk zijn.
Vervolgens giet u die inhoud ook weer in een transparant jasje: de boodschap moet leesbaar zijn voor de betrokkene. Hierbij zijn drie begrippen uit de AVG van belang: beknopt (concise), begrijpelijk (intelligible), en in duidelijke en eenvoudige taal (clear and plain language).
- Beknopte informatie is vereist om informatiemoeheid te voorkomen. De lezer moet niet al afgehaakt zijn voordat de belangrijke informatie is gegeven. Geef dus alleen privacy-informatie die voor de betrokkene relevant is, en bied die apart aan van andere informatie (zoals contractuele bepalingen). Een gelaagde privacyverklaring is een uitkomst. Hierin bevat de eerste laag de informatie die voor alle verwerkingen geldt en kan de betrokkene verder klikken naar specifiekere informatie die op hem van toepassing is. Op de website van IKEA kunt u zien hoe duidelijk zo’n gelaagde privacyverklaring kan zijn. De vorm moet ook logisch zijn: als de betrokkene een slimme waterkoker koopt zonder scherm, heeft het weinig zin om de privacyverklaring elektronisch aan te bieden. U dient dan een verklaring in de gebruiksaanwijzing te passen, of de nodige informatie op de doos te printen.
- Begrijpelijkheid bereikt u als de gemiddelde gebruiker van uw dienst de informatie begrijpt. Het gaat hier om de daadwerkelijke gebruikers, niet alleen de beoogde doelgroep. Als na verloop van tijd blijkt dat uw verwerkingen andere betrokkenen raken dan gedacht, moet u met die betrokkenen rekening houden. De werkgroep raadt aan de begrijpelijkheid te testen in focusgroepen, of door een online enquête. Als uw verwerking kwetsbare groepen raakt geldt dat de informatie ook aan hen aangepast moet worden. Schrijft u een privacyverklaring voor kinderen (bijvoorbeeld op een spelletjessite), dan moet voor het kind door de toon en stijl duidelijk zijn dat de informatie aan hem is gericht. Slechtzienden hebben bijvoorbeeld grotere tekst nodig, of een audioversie.
- Om de informatie in duidelijke en eenvoudige taal op te schrijven let u op de structuur en stijl. Vermijd complexe zinnen, jargon, de passieve vorm, en een overdaad aan bijvoeglijke naamwoorden. Structureer het verhaal logisch, niet alleen in lagen van relevantie, maar ook met bullets en alinea’s. Ook erg belangrijk: zorg dat er geen verschillende interpretaties van uw boodschap mogelijk zijn. Zinnen met ‘mogelijk’, ‘soms’, en ‘kunnen’ laten te veel aan de lezer over. “We kunnen uw persoonsgegevens gebruiken om nieuwe diensten te ontwikkelen” is dus een goed voorbeeld van hoe het niet moet.
De manier waarop u de informatie aanbiedt doet er ook toe. Betrokkenen moeten niet te veel moeite hoeven doen om erachter te komen wat u precies met hun gegevens doet. Doorloop uw website eens alsof het om uw eigen gegevens gaat, en breng de privacyinformatie onder de aandacht als de belangrijke update die het is, in plaats van als een wijziging in de algemene voorwaarden. Besteed er bijvoorbeeld aandacht aan in de veel gestelde vragen, of in een pop-up op de plek van verzameling. Als u het helemaal grondig wilt aanpakken kunt u zelfs een chatbot instellen. Het basisprincipe is dat de informatie nooit meer dan twee klikken weg moet zijn voor de betrokkene, maar als best practice geldt: op dezelfde pagina als waarop de gegevens verzameld worden. De informatie moet ook qua kleur en positie makkelijk te onderscheiden zijn van andere onderdelen op de website.
Zoals gezegd heeft de verantwoordelijke de vrijheid om zelf keuzes te maken in het informeren. Laat u dus niet beperken tot de voorgeschreven onderwerpen uit de AVG, en kies een manier van communiceren die bij uw organisatie past. Dit maakt de communicatie met de betrokkene interactiever, en draagt bij aan het (merk)beeld van uw organisatie. Staat u bijvoorbeeld bekend als innovatief? Ga dan eerder voor een ‘privacy dashboard’ à la Google dan voor een enkele lap tekst. Zie het als een kans voor de PR, betrek uw communicatieafdeling bij, en laat zien hoe goed u voor de privacy van uw betrokkenen zorgt.
Al deze eisen gelden ook voor het communiceren van veranderingen in een verwerking. Zorg dat u met redelijke zekerheid kunt zeggen dat de betrokkene op de hoogte is: de boodschap mag bijvoorbeeld niet met vijf andere tegelijk in één nieuwsbrief worden gepresenteerd. ‘Controleer de website regelmatig voor updates’ is daarom ook niet voldoende. Daarnaast moet de betrokkene de tijd krijgen om de informatie tot zich te nemen en zijn rechten uit te oefenen tussen de melding en het begin van de verandering of de verdergaande verwerking. Volg weer het behoorlijkheidsprincipe: hoe meer (negatieve) consequenties, hoe langer de betrokkene de tijd moet hebben. Zelfs als er niets verandert dient u aandacht te blijven besteden aan transparantie: bij een continue verwerking verwacht de werkgroep dat u de betrokkene in passende intervallen een herinnering stuurt.
Over rechten van betrokkenen is de boodschap: maak het makkelijk, en leg niet te veel zoekwerk bij de betrokkenen. Een poor practice is bijvoorbeeld ergens op de website een verklaring te hebben staan met de mededeling dat betrokkenen contact op moeten nemen met de klantenservice als zij vragen hebben over hun gegevens. De procedures daarvoor moeten ingericht zijn, en duidelijk zijn voor de betrokkenen. Dat is niet alleen handig voor de betrokkene zelf, maar ook voor uw eigen paraatheid. Uit een onderzoek onder 7000 Europese consumenten bleek dat 82% van plan is zijn rechten uit te gaan oefenen[1].
Hoe zit het tot slot met de uitzonderingen op de informatieplicht? Deze gelden vooral voor verwerkingen voor statistiek en archivering, maar ook als het onmogelijk blijkt om de betrokkene te informeren. Aan u de taak om te bewijzen dat er iets is wat u absoluut belet om de betrokkene te informeren, of dat dat onevenredig veel inspanning kost. De werkgroep ziet hierin geen tussenweg: informeren is óf mogelijk, óf onmogelijk. Het gaat hier om maar heel weinig gevallen, bijvoorbeeld wanneer de betrokkene een ongeldig e-mailadres heeft opgegeven.
Door: Natalja Krijgsman
[1] GDPR: Show me the data, Pegasystems Inc., 2018