Hieronder zullen wij de informatie opsommen die u aan betrokkenen in zijn algemeenheid moet verstrekken. Daarbij zullen wij uiteraard aangeven hoe concreet invulling kan worden gegeven aan de informatieplicht, zo mogelijk doen wij ook concrete tekstvoorstellen. Als een voorgestelde wijziging van uw privacyverklaring is voorzien van een cijfer, dan kunt u hieronder de bijbehorende toelichting lezen.

Bij het volgende actiepunt zullen wij aangeven op welke wijze u de informatie aan de betrokkenen kunt verstrekken.

Te verstrekken informatie:

Identiteit en contactgegevens
U moet de betrokkene informeren over uw identiteit en uw contactgegevens. Wij raden aan minimaal de volgende gegevens te verstrekken: uw (handels)naam (incl. rechtsvorm), vestigingsadres, postcode, plaats, telefoonnummer en e-mailadres. Deze informatie blijkt als het goed is al uit uw website. 

Functionaris voor gegevensbescherming
Als u een functionaris voor gegevensbescherming heeft, dan moet u de contactgegevens van deze persoon verstrekken.

De meeste Metaalunieleden hoeven geen functionaris aan te stellen (zie de toelichting bij het eerste actiepunt uit deze checklist). Deze informatieverplichting komt daardoor voor hen te vervallen.

(1) Verwerking van persoonsgegevens en bewaartermijn
U moet de betrokkene vertellen waarom u zijn persoonsgegevens wilt verwerken. Met andere woorden: wat is uw doel. Ook moet u aangeven welke grondslag u hiervoor gebruikt. Als sprake is van de grondslag ‘gerechtvaardigd belang’, moet dit belang worden benoemd en gemotiveerd. Verder moet u aangegeven of verstrekking van persoonsgegevens noodzakelijk is voor een wettelijke of contractuele plicht of een noodzakelijke voorwaarde is om een overeenkomst te sluiten, of de betrokkene verplicht is persoonsgegevens te verstrekken en wat de gevolgen zijn als hij dat niet doet.

Bij contact met uw zakelijke relaties zou u aan uw informatieverplichting kunnen voldoen door het opnemen van onderstaande tekst in uw privacyverklaring. Let op; onderstaande doeleinden (bespreken van een samenwerking, verstrekking en verkrijging van informatie en onderhoud van uw netwerk) zijn breed geformuleerd. Beroept u zich op de grondslag ‘gerechtvaardigd belang’, dan raden wij u aan deze doeleinden (indien mogelijk) concreter in te vullen. Dit doet u door preciezer aan te geven waarom u de gegevens van uw zakelijke relaties verwerkt en wat uw gerechtvaardigd belang hierbij is. De bedrijfsjuridisch adviseurs van Metaalunie kunnen u hierbij helpen.

Verder moet u de betrokkene informeren over hoe lang u zijn persoonsgegevens gaat bewaren.

De opslagperiode van persoonsgegevens moet tot een strikt minimum worden beperkt. Persoonsgegevens mogen bovendien alleen worden verwerkt indien het doel van de verwerking redelijkerwijs niet op een andere manier kan worden verwezenlijkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, moet u termijnen vaststellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Een concrete bewaartermijn wordt in de AVG echter niet genoemd.

U zou ervoor kunnen kiezen aan te sluiten bij de bewaartermijn van één jaar nadat het contact met de betrokkene is beëindigd, wat vergelijkbaar is met ons advies in de checklist over de klant- en leveranciersadministratie met betrekking tot personen die geen klant of leverancier zijn geworden. Neem de door u gekozen termijn voor het wissen van gegevens of voor een periodieke toetsing op in uw privacyverklaring.

Voor meer informatie over de bewaartermijn verwijzen wij u graag naar de toelichting hieronder.

(2) Doorgeven persoonsgegevens
Geeft u persoonsgegevens door aan andere partijen, dan moet u de betrokkene informeren over de ontvangers of categorieën van ontvangers.

Als het gaat om gegevens van relaties zal meestal alleen van doorgifte van persoonsgegevens sprake zijn als bepaalde verwerkingsactiviteiten worden uitbesteed. Denkt u bijvoorbeeld aan gebruikmaking van server- of opslagruimte van een online dienstverlener: verstuurt u uw e-mails via Outlook, dan krijgt Microsoft deze gegevens in handen. 

Doorgeven persoonsgegevens aan ontvangers buiten de EER
Als u persoonsgegevens aan partijen doorgeeft die buiten de Europese Economische Ruimte (EER) zijn gevestigd, dan bent u bovendien verplicht om de betrokkene te laten weten of dit land adequaat is verklaard door de Europese Commissie. Is zo’n besluit er niet, dan moet u aangeven welke passende en geschikte waarborgen dit land dan biedt ter bescherming van persoonsgegevens, hoe hier een kopie van kan worden verkregen of waar deze kunnen worden geraadpleegd. Voor een verdere toelichting op doorgifte van persoonsgegevens aan derden verwijzen wij u graag naar hoofdstuk 6 van het algemene deel.

(3) Rechten van betrokkenen
U moet de betrokkene wijzen op de rechten die hij of zij heeft. Het gaat dan om het recht op inzage, rectificatie, wissing, beperking van verwerking, bezwaar, digitale overdracht van zijn gegevens en dat hij het recht heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). 

Intrekken toestemming
U moet de betrokkene laten weten dat hij gegeven toestemming voor verwerking van zijn persoonsgegevens ook weer mag intrekken.
Heeft u met de betrokkene een overeenkomst gesloten, dan is deze informatieverlichting niet van toepassing omdat de grondslag dan niet ‘toestemming’ maar ‘uitvoering van de overeenkomst’ is. Deze informatieverplichting is bijvoorbeeld wel van toepassing als u aan direct marketing doet en u in dat kader de betrokkene om toestemming vraagt. Zie actiepunt 11 voor meer informatie over direct marketing.

Geautomatiseerde besluiten
U moet de betrokkene vertellen of er op basis van zijn persoonsgegevens geautomatiseerde individuele besluiten worden genomen. Dit zijn besluiten die de uitkomst zijn van een computeranalyse (dus zonder menselijke tussenkomst genomen) en voor de betrokkene (rechts)gevolgen hebben.

Wij gaan ervan uit dat het gemiddelde Metaalunielid geen ‘geautomatiseerde individuele besluiten’ neemt.

Met ingang van 25 mei 2018 moet u al uw nieuwe zakelijke contacten en relaties informeren in overeenstemming met de bepalingen uit de AVG. De informatieplicht bestond overigens onder de Wbp ook al, maar wordt in de AVG uitgebreid en gedetailleerder.

(1) Voegt u onderstaande alinea toe aan uw privacyverklaring:
Verzamelen, gebruiken en bewaren van persoonsgegevens van zakelijke relaties
Graag maken wij u er op attent dat wij de persoonsgegevens die u ons verstrekt zullen verzamelen en gebruiken omdat u hier toestemming voor heeft gegeven dan wel omdat dit noodzakelijk is voor de behartiging van onze gerechtvaardigde belangen. Wij verwerken de volgende gegevens: naam, adres en contactgegevens.

Bent u een relatie van ons, dan gebruiken wij uw gegevens om contact met u op te kunnen nemen voor doeleinden die in het belang zijn van onze onderneming. Denkt u hierbij bijvoorbeeld aan het bespreken van een eventuele samenwerking, het verstrekken en verkrijgen van informatie en het onderhouden van ons netwerk.

U bent niet verplicht om ons uw persoonsgegevens te verstrekken. Als u ons geen of onvoldoende persoonsgegevens verstrekt, dan is het echter wel mogelijk dat wij aan de hiervoor genoemde doeleinden geen uitvoering kunnen geven. Uw gegevens worden één jaar na het laatste contact verwijderd.

(2) Voegt u de onderstaande tekst toe aan de alinea ‘Doorgifte aan derden’ in uw privacyverklaring:
Wij maken daarnaast gebruik van externe serverruimte voor de opslag van (delen van) ons contactenbestand. Bent u een relatie van ons, dan maken uw persoonsgegevens hier onderdeel van uit. Uw persoonsgegevens worden om die reden aan onze provider van serverruimte verstrekt. Verder maken wij gebruik van Microsoft Office en de bijbehorende opslagmogelijkheden voor e-mails en andere bestanden. Omdat wij gebruikmaken van een nieuwsbrief mailing dienst, worden uw persoonsgegevens tot slot doorgegeven aan de aanbieder van deze dienst, mits u hier toestemming voor heeft gegeven.

(3) Voor zover u in uw privacyverklaring nog geen alinea had opgenomen over de rechten van betrokkenen, kunt u hiervoor onderstaande alinea gebruiken. Breid uw privacyverklaring dan uit met de volgende tekst:
Uw rechten
U heeft het recht om ons te vragen om uw eigen persoonsgegevens te mogen inzien. Als daartoe aanleiding bestaat, kunt u ons ook verzoeken om aanvulling van uw persoonsgegevens of om het wijzigen van onjuistheden. Daarnaast heeft u het recht om te vragen om uw persoonsgegevens te wissen of het gebruik van uw persoonsgegevens te beperken. Ook kunt u bij ons bezwaar maken tegen het verzamelen en gebruiken van uw gegevens of een klacht indienen bij de Autoriteit Persoonsgegevens. Tot slot kunt u ons verzoeken om verkrijging van uw persoonsgegevens of overdracht van die gegevens aan een ander. Om uw rechten te kunnen uitoefenen kunt u zich wenden tot: (naam, adres, postcode, plaats, telefoonnummer en e-mailadres). Ook met vragen of voor meer informatie over het verzamelen en gebruiken van uw persoonsgegevens kunt u uiteraard contact met ons opnemen.

De AVG bepaalt dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is. Een concrete bewaartermijn wordt echter niet genoemd. Bovendien volgen er geen bewaartermijnen uit de wet, zoals wel het geval is bij de fiscale bewaarplicht van zeven jaar voor de klant-, leveranciers- en salarisadministratie.

Dit betekent dat u zelf, gezien het beoogde doel dat u met het bewaren van gegevens heeft, concrete termijnen moet vaststellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Deze termijnen mag u ook omschrijven, maar moeten wel een duidelijk vast te stellen einde hebben. Met betrekking tot uw zakelijke relaties raden wij u aan deze persoonsgegevens één jaar nadat het contact is beëindigd te verwijderen. De door u gekozen bewaartermijn neemt u op in uw privacyverklaring aan de betrokkene.

Zoals wij ook in de eerdere checklists hebben opgemerkt, zal het in de praktijk moeilijk of zelfs ongewenst zijn om bewaartermijnen te hanteren. Dit betekent namelijk onder andere dat u moet bijhouden wanneer e-mails verwijderd moeten worden. Bepaalde gegevens zult u waarschijnlijk helemaal nooit willen wissen, zoals de gegevens van zakelijke contacten die staan opgeslagen op uw telefoon. Desondanks raden wij u aan u te houden aan de door u vastgestelde bewaartermijnen.

Doorgeven van persoonsgegevens aan het VK

Door de Brexit is het VK geen onderdeel meer van de EU en valt dit land dus niet meer onder de AVG. Hierdoor zou het doorgeven van persoonsgegevens aan een partij in de VK moeilijker worden. Het was even onzeker welke structurele oplossing hiervoor zou komen. Sinds 28 juni 2021 is hier echter op Europees niveau een oplossing voor gevonden.

De Europese Commissie heeft namelijk een zogenaamd adequaatheidsbesluit genomen. In dit besluit oordeelt de Europese Commissie dat het niveau van bescherming van persoonsgegevens in het VK gelijkwaardig is aan dat in de EU. Daarmee is de veiligheid van persoonsgegevens, doorgegeven aan het VK, structureel voldoende gewaarborgd.

Geeft u persoonsgegevens door aan een partij in het VK, dan moet u dit nog wel aangeven in uw privacyverklaring. U moet opnemen aan wat voor soort partij u gegevens doorgeeft, dat deze partij in het VK zit en dat de doorgifte van persoonsgegevens is toegestaan op basis van het adequaatheidsbesluit van de Europese Commissie van 28 juni 2021 onder nummer C(2021) 4800 final. 

Doorgeven van persoonsgegevens aan de VS

Sinds de zomer van 2020 is het gebruik van Google Analytics, MailChimp en andere Amerikaanse aanbieders van elektronische communicatiediensten in strijd met de AVG. Een mogelijke oplossing voor het probleem is om een door de Europese Commissie voorgeschreven contract te sluiten met het Amerikaanse bedrijf aan wie gegevens worden doorgegeven. Zo'n contract wordt "Standard Contractual Clauses" (SCC) genoemd. Zo’n contract zal echter moeten worden aangevuld met technische, juridische of organisatorische maatregelen om de privacy daadwerkelijk te kunnen waarborgen. Of de bescherming van persoonsgegevens voldoende is gewaarborgd door SCC te gebruiken in combinatie met aanvullende maatregelen zal van geval tot geval moeten worden beoordeeld. Wilt u hierover advies, neem dan gerust contact met ons op.  

Wilt u zeker weten dat u aan de AVG voldoet, stap dan over op Europese aanbieders, die de verkregen data opslaan in de EU.