Bekijk nog even kritisch uw privacy statement

Het is een veel voorkomende scenario wat gemakkelijk zorgt voor een datalek.

Stuur uw cv en motivatiebrief of klacht betreffende misbruik naar de algemene e-mail van het bedrijf, voorbeeld: info@bedrijfsmail.nl. Door uw persoonsgegevens naar de algemene bedrijfs e-mail te sturen worden deze persoonsgegevens als het ware verspreid door het bedrijf. De medewerker die het algemene e-mail adres beheert is namelijk vaak niet de persoon voor wie de persoonsgegevens bedoeld zijn. De betreffende e-mail wordt daarom ook vaak doorgezonden of uitgeprint en gegeven aan de juiste persoon. Het resultaat de e-mail blijft hangen in een verwijderde/verzonden e-mail map of de harde schijf van een printer.  

Een bescheiden onderdeel van ons werk is ook het opstellen en nakijken van de privacy notice (of privacy statement). In dit document, vaak geplaatst op de website, staat het doel en de verschillende persoonsgegevens aangegeven die binnen een organisatie worden verwerkt. De privacy notice geldt dan voor alle persoonsgegevens die worden verwerkt binnen de organisatie en niet alleen de persoonsgegevens die via de website worden verwerkt.

Een bijkomend onderdeel van de privacy notice is ook de voorwaarde gesteld in art. 37 lid 7 van de AVG. Dit artikel vereist dat de verwerker en de verwerkingsverantwoordelijke de contactgegevens van de privacyfunctionaris of een relevant toezichthouder aangeeft.

Het doel van artikel 37 lid 7 AVG

Het doel van dit artikel is dat betrokkenen, zoals werknemers, consumenten of gebruikers, gemakkelijk, direct en vertrouwelijk contact met de privacyfunctionaris kunnen opnemen.

De veel voorkomende fout

De fout die welke ik vaak tegenkom is dat organisaties alleen het algemene info@bedrijf.nl e-mailadres hebben aangegeven in de contact clausule van hun privacy statement.

Hiermee wordt niet het doel bereikt wat de wetgever voor ogen had. De contactgegevens voor het bereiken van de privacyfunctionaris dient dus meer informatie te bevatten. Hierdoor wordt het voor betrokkenen en de toezichthouder gemakkelijker, om direct en vertrouwelijk de aangestelde privacyfunctionaris te bereiken.

Hoe moet het dan wel?

Door de contactgegevens zoals postadres, een speciaal telefoonnummer en/of een e-mailadres te vermelden in de privacy notice, wordt het doel dat de AVG voor ogen had al bereikt. Andere manieren om communicatie te zoeken kunnen natuurlijk ook worden toegepast. Denk aan een speciaal telefoonnummer of een contactformulier op de website van uw organisatie. Voor werknemers kunt u ook de naam intern vermelden via intranet of een organogram van uw organisatie. 

Voorbeeld clausule: Ter zake het contact met betrekking tot het inzien, aanpassen of verwijderen van uw persoonsgegevens is Dhr. J. Smit aangesteld als privacyfunctionaris van onze organisatie. Omdat datalekken te voorkomen berichten en te verspreiden stellen onderstaande contactgegevens u instaat direct contact op te nemen met Dhr. J. Smit.

(afwijkend) postadres: t.a.v. Dhr. J. Smit, Straatweg 123, 1234 XY Amsterdam

Speciaal telefoonnummer: 06- 123456789

Email adres: privacyfunctionaris@bedrijf.nl

Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, kunnen wij u vragen  een kopie van uw identiteitsbewijs bij het verzoek mee te sturen. Hierbij vragen we u om in deze kopie uw pasfoto en burgerservicenummer (BSN) zwart te maken. Dit ter
bescherming van uw privacy. Privacyfunctionaris.com zal zo snel mogelijk, maar binnen vier weken, op uw verzoek reageren.

Belangrijk

• Artikel 37 lid 7 van de AVG stelt niet dat de contactgegevens de naam van de privacyfunctionaris moet bevatten. Het is aan de verantwoordelijke en de privacyfunctionaris om te bepalen of dit in bepaalde omstandigheden vereist dan wel zinnig is. Een situatie waar dit zinnig kan zijn is als uw organisatie veel bijzondere persoonsgegevens verwerkt.
• Vermeld in de privacy notice alle persoonsgegevens die je verwerkt in je organisatie, en dus niet alleen persoonsgegevens die je verwerkt via je website.