Ook degenen van wie je persoonsgegevens verwerkt in het kader van jouw dienstverlening, moet je informeren over hoe jij omgaat met zijn/haar persoonsgegevens. Dat doe je met een privacyverklaring. Een voorbeeld vind je in de FMB. Je kunt de privacyverklaring op jouw website plaatsen, waarnaar je kunt verwijzen bij gebruik van andere communicatiemiddelen.
En wat doe je als er toch een datalek is?
Eigenlijk is deze vraag al beantwoord op 1 januari 2016. Toen werd de meldplicht datalekken ingevoerd. Onder de AVG blijft dit hetzelfde. Er komt wel een verplichting bij: je moet iedere datalek die zich heeft voorgedaan vastleggen in een register. De Autoriteit Persoonsgegevens (AP) kan zo controleren of je aan de meldplicht hebt voldaan. Je moet de te volgen procedure bij een datalek schriftelijk vastleggen. Voor een voorbeeld in de FMB. Zo nodig moet je de datalek melden aan de persoon van wie de gegevens zijn gelekt. In die mededeling geef je ook aan welke maatregelen je hebt getroffen. Een modelbrief hiervoor tref je in de FMB.
