Wat staat er in de privacyverklaring?

Als werkgever verwerk je dagelijks persoonsgegevens van je medewerkers, sollicitanten en soms zelfs klanten. Denk aan e-mailadressen, telefoonnummers, contractgegevens en in bepaalde gevallen ook bijzondere persoonsgegevens. De privacywetgeving, waaronder de algemene verordening gegevensbescherming (AVG), verplicht je om daar zorgvuldig mee om te gaan. Een heldere privacyverklaring helpt je daarbij. Het geeft inzicht in de manier waarop je persoonsgegevens verwerkt, met welk doel en onder welke voorwaarden.

Wil je direct aan de slag met een onderbouwde privacyverklaring? Download dan ons gratis sjabloon en voldoe in één keer aan de AVG-eisen.

✅ Praktisch invulbaar
✅ Geschikt voor alle sectoren
✅ Inclusief richtlijnen voor persoonsgegevens verwerken
✅ Helpt bij naleving van privacywetgeving en intern toezicht
✅ Voorkomt fouten, boetes en misverstanden

Waarom is een algemene privacyverklaring belangrijk?

Zodra je mensen in dienst hebt, verwerk je persoonsgegevens. Dat kan gaan om simpele gegevens zoals naam en e-mailadres, maar ook om bijzondere persoonsgegevens zoals medische informatie bij een re-integratietraject.

Algemene verordening gegevensbescherming AVG

De algemene verordening gegevensbescherming (AVG) bepaalt dat je als werkgever open moet zijn over de manier waarop je gegevens verwerkt. Je hebt dus een privacyverklaring nodig die laat zien welke gegevens je verzamelt, waarom je dat doet en hoe je ze beveiligt.

De Autoriteit Persoonsgegevens controleert of je je aan de regels houdt. Doe je dat niet, dan riskeer je een waarschuwing of boete. Een privacyverklaring helpt je ook om aan te tonen dat je passende organisatorische maatregelen hebt genomen om de privacy van je medewerkers te waarborgen.

Welke persoonsgegevens verwerk je eigenlijk als werkgever?

Je verzamelt en verwerkt persoonsgegevens zodra iemand bij je solliciteert, werkt of uit dienst gaat. Denk aan meerdere persoonsgegevens zoals naam, telefoonnummer, e-mailadres, BSN, IBAN, en gegevens over verzuim. In sommige gevallen gaat het om bijzondere persoonsgegevens, bijvoorbeeld medische gegevens of informatie over een strafrechtelijk verleden. Deze mag je alleen verwerken als daar een wettelijke verplichting voor is of als de werknemer daarvoor toestemming geeft.

Ook bij geautomatiseerde besluitvorming, zoals automatische afwijzingen bij sollicitaties, ben je verplicht om dit te vermelden in je privacyverklaring. De AVG stelt dat je altijd moet aangeven voor welk doel je persoonsgegevens verwerkt, wie toegang heeft, en of je gegevens deelt met andere organisaties binnen of buiten de Europese Economische Ruimte.

Wat moet er verplicht in jouw privacyverklaring staan?

Een goede privacyverklaring geeft antwoord op drie vragen: welke persoonsgegevens verwerk je, waarom doe je dat, en hoe bescherm je die gegevens? Je moet duidelijk maken voor welk doel je gegevens verzamelt, hoe lang je ze bewaart, en wanneer ze worden vernietigd. Ook beschrijf je of je gegevens deelt met andere organisaties, binnen of buiten de Europese Unie of de Europese Economische Ruimte.

Vermeld altijd je contactgegevens, de rol van een eventuele functionaris gegevensbescherming, en of je gebruikmaakt van geautomatiseerde besluitvorming. Leg uit op basis van welke wettelijke verplichting, overeenkomst of gerechtvaardigd belang je gegevens verwerkt. Tot slot geef je aan hoe medewerkers hun privacyrechten kunnen uitoefenen via een verzoek, bezwaar of brief.

Veelgemaakte fouten bij het opstellen van een privacyverklaring

Veel werkgevers nemen een standaardtekst over zonder te controleren of die past bij hun eigen gegevensverwerking. Daardoor wordt er vaak geen duidelijke uitleg gegeven over de manier waarop persoonsgegevens verwerkt worden. Soms ontbreekt het aan informatie over intern toezicht of een aangewezen functionaris gegevensbescherming, terwijl dat bij bepaalde organisaties verplicht is.

Een ander risico: je beschrijft niet of en wanneer gegevens worden gedeeld met andere organisaties, of hoe je de gegevens beveiligt en uiteindelijk vernietigt. Ook zie je vaak dat het doel waarvoor persoonsgegevens worden verwerkt te vaag blijft. Vergeet daarnaast niet te benoemen hoe medewerkers een verzoek of bezwaar kunnen indienen. Zonder die details ben je niet transparant én overtreed je mogelijk de privacywetgeving.

Wat gebeurt er als je géén privacyverklaring hebt?

1. Je overtreedt de AVG

Volgens de algemene verordening gegevensbescherming (AVG) ben je verplicht om betrokkenen te informeren over de manier waarop je persoonsgegevens verwerkt. Doe je dat niet, dan voldoe je niet aan de privacywetgeving.

2. Boetes van de Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens kan optreden. Afhankelijk van de ernst van de overtreding kun je een waarschuwing, een dwangsom of een boete krijgen — soms oplopend tot duizenden euro’s.

3. Minder vertrouwen van medewerkers en sollicitanten

Zonder heldere privacyverklaring wek je de indruk dat je onzorgvuldig met gegevens omgaat. Dat schaadt je imago als werkgever.

4. Geen bewijs van naleving

Bij controles of conflicten kun je niet aantonen dat je voldoet aan de AVG, bijvoorbeeld bij verzoeken, bezwaar of datalekken. Een privacyverklaring is een belangrijk bewijsdocument.

Ik heb persoonsgegevens gedeeld

1. Controleer de grondslag

Vraag jezelf af: op basis waarvan heb je de gegevens gedeeld? Toegestane grondslagen zijn bijvoorbeeld:

• Toestemming van de betrokkene

• Wettelijke verplichting

• Overeenkomst (bijv. arbeidsovereenkomst)

• Gerechtvaardigd belang (mits onderbouwd)

Zonder geldige grondslag is de gegevensdeling niet toegestaan.

2. Documenteer de gegevensverwerking

Leg vast:

• Welke persoonsgegevens zijn gedeeld

• Met welke organisatie of persoon

• Met welk doel

• Op welke datum

• Welke passende maatregelen zijn genomen (zoals beveiliging)

3. Controleer of je dit benoemt in je privacyverklaring

Je bent verplicht om in je privacyverklaring te vermelden dat je gegevens kunt delen met andere organisaties, inclusief het doel, de rechtsgrond en of het buiten de Europese Economische Ruimte plaatsvindt.

4. Informeer de betrokkene (indien nodig)

Als het delen onverwacht was voor de betrokkene, of als het risico’s met zich meebrengt, ben je verplicht die persoon te informeren. Dit valt onder het transparantiebeginsel van de AVG.

5. Beoordeel of er sprake is van een datalek

Heb je gegevens gedeeld met de verkeerde partij of zonder juiste beveiliging? Dan moet je beoordelen of dit een datalek is. Zo ja, dan moet je dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens en mogelijk ook de betrokkenen informeren.

Download: gratis sjabloon voor een privacyverklaring

Wil je snel voldoen aan de privacywetgeving zonder eindeloos te zoeken naar de juiste formulering? Download dan ons gratis privacyverklaring-sjabloon. Dit model helpt je om direct duidelijk te maken welke persoonsgegevens je verwerkt, met welk doel en hoe je de gegevens beveiligt.

Het sjabloon is toepasbaar voor verschillende situaties: onboarding, verzuim, salarisadministratie en sollicitaties. Je vindt er voorbeelden van hoe je omgaat met toestemming, gerechtvaardigd belang, en het opnemen van een functionaris gegevensbescherming. Ook bevat het tekstvoorbeelden voor verzoek- en bezwaarprocedures, en hoe je gegevens verwerkt binnen of buiten de Europese Economische Ruimte.

Gebruik dit sjabloon als basis en pas het aan jouw organisatie aan. Zo voldoe je aan de AVG én voorkom je fouten.

 

Personeelsplanning en urenregistratie software!

• Eenvoudige personeelsplanning
• Overzichtelijke urenregistratie
• Makkelijke verlofregistratie

Gratis uitproberen Demo aanvragen