De privacyverklaring in het licht van de TikTok-zaak: One size does not fit all (KPMG Law)

Auteur: Laura Vanuytrecht (KPMG Law)

Het is als onderneming af te raden om gebruik te maken van een standaard privacyverklaring (voor verschillende doelgroepen, landen, etc.).

Dat bleek recent in Nederland. Daar werd de populaire videoapplicatie TikTok door de Nederlandse Autoriteit Persoonsgegevens veroordeeld tot een boete van 750.000 EUR wegens het schenden van de privacy van jonge kinderen. De privacyverklaring die de gebruikers bij het installeren en gebruiken van de applicatie te zien kregen, was in het Engels opgesteld en daardoor niet goed te begrijpen door de (jonge) gebruikers en aldus in strijd met de privacywetgeving.

Deze uitspraak past binnen het steeds strengere handhaven van de privacywetgeving en de bijhorende zwaardere boetes. Dat geldt ook voor België, waar de dossiers bij de GBA (Gegevensbeschermingsautoriteit) toenemen. De speeltijd is nu duidelijk voorbij.

De Algemene Verordening Gegevensbescherming (de AVG) stelt een aantal belangrijke beginselen voorop die moeten worden gerespecteerd bij de verwerking van persoonsgegevens. Het transparantiebeginsel, zijnde de verplichting om de personen wiens persoonsgegevens worden verwerkt (de betrokkene(n)) te informeren, is er daar één van.

De onderneming (of een natuurlijke persoon) die verantwoordelijk is voor de verwerking van de persoonsgegevens van de betrokkene(n) (de verwerkingsverantwoordelijke), kan deze informatie op verschillende manieren verstrekken.

De meest voorkomende wijze van informeren is via een privacyverklaring. Die privacyverklaring dient aan enkele voorwaarden te voldoen. Zo moet de verklaring bijvoorbeeld beknopt, eenvoudig toegankelijk en begrijpelijk te zijn. Daarnaast moet de verklaring ook in duidelijke en eenvoudige taal worden geschreven.

Bij het opstellen van een privacyverklaring dient men zich dus steeds de vraag te stellen of de betrokkene in kwestie de inhoud van de privacyverklaring zal kunnen begrijpen.

Met andere woorden, “one size does not fit all”.

Dat laatste is met name van belang wanneer de verwerkingsverantwoordelijke (tevens) persoonsgegevens van kinderen verwerkt. Kinderen zullen aan de hand van lange zinnen of formeel taalgebruik niet begrijpen wat er precies met hun persoonsgegevens gebeurt en dus moet de toon en de stijl van de gebruikte taal waarin de informatie wordt verstrekt kindvriendelijk zijn.

Vanuit diezelfde optiek is het soms aangewezen in de privacyverklaring gebruik te maken van stripverhalen, cartoons of pictogrammen.

Bron: KPMG Law