Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

De gelaagde privacyverklaring

27 mei 2013 - 3 minuten leestijd

Op basis van art. 33 en 34 van de Wet bescherming persoonsgegevens (Wbp) moet de verantwoordelijke de betrokkene informeren over de hem betreffende persoonsgegevens die worden verwerkt. De wet schrijft voor dat tenminste mee wordt gedeeld wat de identiteit van verantwoordelijke is en voor welke doeleinden de gegevens worden verwerkt.

Verder moet, al naar gelang de aard van de verantwoordelijke, de risico’s die met de gegevens zijn gemoeid en de manier waarop de persoonsgegevens zijn verkregen, alle nodige informatie worden verstrekt om ‘tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen’. Deze eisen zijn verder uitgewerkt in een aantal CBP Richtsnoeren.

Nu kan al deze informatie samen een vrij uitgebreid en lang document vormen. Dit kan problematisch zijn, vooral nu steeds meer gebruik wordt gemaakt van apparaten met kleinere  schermen, zoals smart phones en tablets. Om deze reden blijken steeds meer verantwoordelijken te kiezen voor een zogenaamde gelaagde privacyverklaring (‘multi-layered privacy notice’). De eerste laag geeft de meest basale informatie aan betrokkene. De tweede en eventueel zelfs derde laag verschaffen meer specifieke informatie aan de geïnteresseerde betrokkene.

Helaas blijkt er onder verantwoordelijken nog veel onduidelijkheid te bestaan over de toelaatbaarheid van de gelaagde privacyverklaring.

De Artikel 29 Werkgroep (WP29), het onafhankelijke advies -en overlegorgaan van Europese privacytoezichthouders (waaronder het Nederlandse CBP), heeft in 2004 aangegeven positief te staan tegenover het gebruik van de gelaagde privacyverklaring (WP29 – Opinion 10/2004 on More Harmonised Information Provisions – 25th November 2004): “Multi-layered notices can help improve the quality of information on data protection received by focusing each layer on the information that the individual needs to understand their position and make decisions. Where communication space/time is limited, multi-layered formats can improve the readability of notices. The sum total of the layers must meet specific national requirements, while each individual layer will be considered acceptable as long as the total remains compliant. In this way, businesses can use a consistent short EU data protection notice in consumer communications as long as they ensure that consumers can easily access information required under the national data protection regime.”

Ook in een Opinie uit 2009 (Opinion 2/2009 on the protection of children’s personal data (General Guidelines and the special case of schools) – 11 February 2009) liet de WP29 zich positief uit over de gelaagde privacyverklaring: “In the context of providing information to children or their legal representatives, special emphasis should be put on giving layered notices based on the use of simple, concise and educational language that can be easily understood. A shorter notice should contain the basic information to be provided when collecting personal data either directly from the data subject or from a third party (Article 10 and 11). This should be accompanied by a more detailed notice, perhaps via a hyperlink, where all the relevant details are provided.”

In een recente opinie van de WP29 (Opinion 02/2013 on apps on smart devices – 27 February 2013) gaat de WP29 expliciet in op het gebruik van gelaagde privacyverklaringen in het kader van mobiele apps: “Of course, there are limitations to the amount of information that can be presented on a small screen, but this is no excuse to not adequately inform end users. Several strategies can be followed to ensure users’ awareness of key elements the service. The Working Party sees benefits in the use of layered notices as detailed by WP29 in Opinion 10/2004, where the initial notice to the user contains the minimum information required by the EU legal framework, and further information is available through links to the whole privacy policy. The information should be presented directly on screen, easily accessible and highly visible. Next to comprehensive information suitable for the small screen of mobile devices, users must be able to link through to more extensive explanations, for example in the privacy policy, how the app uses personal data, who the data controller is and where a user can exercise his rights.”

In een nog recentere Opinie van de WP29 (Opinion 03/2013 on purpose limitation – 2 April 2013) wordt gebruik van een gelaagde privacyverklaring wederom actief aangeraden: “In light of this, the approach of a ‘layered notice’ to data subjects often works well, especially on the Internet, and has thus been recommended in many situations by the WP29. This means that key information is provided to data subjects in a very concise and user-friendly manner, while additional information (perhaps via a link to a more detailed description of the processing on another Internet page) is provided for the benefit of those who require further clarification” en “A layered notice is often a workable way to provide key information to data subjects in a very concise and user-friendly manner, while also supplying additional information on the next ‘layer’ for the benefit of those who require further clarification.”

Uit onder meer voorgaande citaten kan opgemaakt worden dat hantering van een gelaagde privacyverklaring niet alleen in overeenstemming met de wet is, maar in sommige gevallen zelfs door de privacytoezichthouders aangeraden wordt. De gelaagde structuur komt de leesbaarheid en kenbaarheid van de informatie alleen maar ten goede, mits voldaan wordt aan de voorwaarde dat de belangrijkste (en vanuit de EU verplichte) informatie in de eerste laag is opgenomen.

Wilt u meer weten over privacywetgeving, of wilt u een privacyverklaring laten opstellen of controleren, neem dan contact op met Natascha van Duuren (partner IT, IE & Privacy)

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?