Wat moet er nu precies in een privacyverklaring of -policy staan?

De GDPR vereist dat u transparant communiceert naar de betrokkenen. Dat kan schriftelijk, mondeling of met elektronische middelen (art 12).

Maar ‘wat’ moet u dan precies communiceren?

We sommen de items hier even voor u op (art 13&14):


De identiteit (naam & adres) van de verwerkingsverantwoordelijke, m.a.w. de gegevens van jouw onderneming.

  • De contactgegevens van uw DPO, als er een werd aangesteld.

  • De verwerkingsdoeleinden én de rechtsgrond hiervoor. M.a.w. u hoort, per doelstelling, aan te geven wat u met de gegevens zal doen en op welke rechtsgrond u zich beroept om dit te kunnen doen. Dit houdt meteen in dat u zou kunnen kiezen om verschillende privacyverklaringen, per doel, op te stellen. Erg gebruikelijk is een onderscheid tussen een interne en externe privacyverklaring.

  • De ontvangers of categorie van ontvangers, m.a.w. wie de data zal ontvangen, al dan niet in verwerkte vorm.

  • Mocht u de gegevens willen doorgeven aan derden (vb. een zusterbedrijf) dan hoort u dat ook te vermelden. De betrokkenen moeten uit uw privacyverklaring kunnen afleiden wie hun gegevens zal verwerken.

  • De bewaartermijn van de gegevens, eventueel in functie van het verwerkingsdoel.

  • De rechten van de betrokkenen (inzage, rectificatie, wissing, beperking van de verwerking en bezwaar).

  • De mogelijkheid om klacht in te dienen bij de toezichthoudende autoriteit.

  • Het bestaan van profilering (geautomatiseerde besluitvorming), indien van toepassing.

  • Wanneer de opname van persoonsgegevens voor jou een noodzakelijke voorwaarde is om een overeenkomst af te sluiten, dient u dat tevens te vermelden. Vb. bij een webshop-verkoop

Bovenstaande gegevens zijn verplichte items. Neem deze in een zo begrijpelijke mogelijke taal op voor de gebruiker. M.a.w. een privacyverklaring hoort in eerste instantie beknopt en makkelijk leesbaar te zijn. Het staat u vrij te verwijzen naar een meer gedetailleerde tekst waarin u een aantal items uitgebreider omschrijft.

Andere belangrijke punten bij het publiceren van uw privacyverklaring:


Uw privacyverklaring moet correcte en actuele informatie weergeven. Dat betekent dat u uw verklaring op termijn wellicht eens of meerdere keren zal aanpassen. Informeer uw betrokkenen dat dat kan gebeuren vb. door hun uit te nodigen de tekst op uw website regelmatig te bezoeken. Om die reden dateert u uw privacyverklaring ook best.


Waar en wanneer publiceer ik mijn privacyverklaring best?

Als u persoonsgegevens door de betrokkenen laat invullen moeten ze ‘vooraf’ geïnformeerd zijn over de verwerking. U maakt dus best een verwijzing naar de privacyverklaring op het invulformulier.

Voor alle andere gevallen volstaat het dat uw privacyverklaring makkelijk te vinden is, vb. op uw website of als bijlage bij andere documenten die u hun bij een eerste contact bezorgt.


Meer vragen over de praktische toepassing van de GDPR in uw bedrijf?

Advocatenkantoor Bijnens L & Co koos voor de praktische invulling voor een unieke samenwerking met Agrandi, optimalisatiespecialist voor kmo’s. Agrandi analyseert met u de noden en wensen omtrent uw GDPR-implementatie en begeleidt de praktische toepassing.


Advocatenkantoor Bijnens L. & Co zorgt voor de nodige juridische ondersteuning.