Wanneer privacyverklaringen van toepassing zijn en wat je daarna doet

Privacyverklaringen zijn van toepassing wanneer een SaaS-bedrijf persoonsgegevens direct verzamelt, ze uit een andere bron ontvangt of een bestaande workflow zo wijzigt dat ook de uitleg aan mensen moet veranderen. De praktische vervolgstap is dan niet om te vragen of er al ergens een privacytekst bestaat. Je moet vaststellen welke activiteit precies in scope is, of artikel 13 of 14 GDPR relevant is, wie de update owns, waar de informatie moet verschijnen en welk bewijs laat zien dat de gepubliceerde tekst klopt met de praktijk.

Wanneer dit meestal geldt

Dat geldt bij directe verzameling via sign-up, demo-aanvraag, support, events of telemetry gekoppeld aan een identificeerbaar account. Het geldt ook bij indirecte verkrijging via lead enrichment, importlijsten, door klanten aangeleverde medewerkersdata of due-diligencebestanden. En het geldt wanneer een bestaande verwerking materieel verandert door nieuwe velden, nieuwe vendors, nieuwe ontvangers of nieuwe vormen van identificeerbare tracking.

Wat je daarna moet doen

1. Benoem de exacte workflow en bron

Omschrijf de activiteit concreet en maak duidelijk of de data rechtstreeks van de persoon komt of uit een andere bron.

2. Controleer de feiten die de verklaring moet weerspiegelen

Bevestig:

• welke datacategorieen zijn betrokken;
• voor welk doel de verwerking plaatsvindt;
• welke rechtsgrond geldt;
• wie ontvanger is;
• of transfers, profilering of geautomatiseerde besluitvorming spelen;
• hoe bewaartermijnen worden bepaald.

3. Kies het juiste leveringspatroon

De oplossing kan een update van de centrale verklaring zijn, tekst bij een formulier, just-in-time uitleg in het product, onboardingtaal of een combinatie. Het belangrijkste is dat de persoon de relevante uitleg krijgt waar de verwerking echt plaatsvindt.

4. Leg owner en trigger vast

Maak duidelijk wie wijzigingen signaleert, wie beoordeelt of transparantie moet worden bijgewerkt, wie de tekst goedkeurt, wie publiceert en wie het bewijs bewaart.

5. Bewaar bruikbaar bewijs

Nuttig zijn vaak:

• de live tekst;
• versiegeschiedenis;
• screenshots van de weergave;
• goedkeurings- en publicatiemomenten;
• notities over de analyse van artikel 13 of 14.

Veelgemaakte fouten

Teams gaan vaak mis wanneer ze het onderwerp reduceren tot copy-editing, wanneer ze aannemen dat een enkele webpagina alle contexten dekt, wanneer ze indirecte verzameling vergeten of wanneer ze alleen op een vaste kalender reviewen en niet na materiele veranderingen. Zonder bewijs van wat wanneer live stond, blijft het controlepunt zwak.

Praktische voorbeelden

Een nieuw demoformulier met extra velden vraagt om afstemming tussen formuliertekst, CRM-gebruik en centrale verklaring. Een geimporteerde leadlijst roept vaak artikel 14-vragen op. Enterprise onboarding met medewerkersgegevens vraagt duidelijkheid over rollen en transparantielogica. Nieuwe identificeerbare telemetry vereist een nieuwe check op doel, ontvangers, bewaartermijn en zichtbaarheid.

Praktische conclusie

Privacyverklaringen zijn van toepassing zodra mensen duidelijke, tijdige en correcte informatie nodig hebben over de verwerking van hun persoonsgegevens. Daarna volgt operationeel werk: activiteit afbakenen, feiten bevestigen, het juiste kanaal kiezen, ownership vastleggen en bewijs bewaren. Zo wordt transparantie een onderdeel van launch- en audit-readiness in plaats van een late juridische correctie.