De privacyverklaring
Heb je een website? Dan is de kans groot dat je een privacyverklaring nodig hebt. Dit is een belangrijk juridisch document. In dit blog geven we uitleg over deze privacy verklaring.
Moet je een privacyverklaring opstellen maar vind je dit lastig? Maak dan gebruik van het voorbeelddocument!
Wat is een privacyverklaring?
Wat het is ? Een privacyverklaring is een gedragscode waarin je aangeeft wat je met gegevens doet die je van je bezoekers verzamelt. Een privacyverklaring wordt ook wel een privacy policy of een privacy statement genoemd.
Wet bescherming persoonsgegevens
In de Algemene verordening gegevensbescherming (AVG) zijn de regels voor de omgang met persoonsgegevens vastgelegd. Hierin staat dat je persoonsgegevens op een uiterst secure wijze moet verwerken.
Om bezoekers te laten weten hoe jij met deze gegevens omgaat, plaats je dit in het privacy statement.
Centraal geregeld in Europa
Net als de Cookiewet, is de privacy policy in Europees verband geregeld. Op 24 mei 2016 is er een verordening aangenomen die duidelijkheid moet geven over het omgaan met persoonsgegevens.
Vervolgens is sinds 25 mei 2018 deze verordening in alle lidstaten van EU van toepassing en wordt deze gehandhaafd door de Autoriteit Persoonsgegevens.
Wat staat er precies in een privacyverklaring?
In de privacy policy staat exact beschreven wat je met verzamelde persoonsgegevens doet en waarom. Gegevens kunnen namelijk verzamelt worden voor verschillende doeleinden.
Persoonsgegevens kunnen namelijk gebruikt worden om later contact op te kunnen nemen met de bezoeker, een nieuwsbrief te versturen of om het product of de dienst te kunnen leveren.
De volgende punten móeten in je privacyverklaring staan
Identiteit
Gegevens die in ieder geval moeten worden opgenomen in de verklaring zijn jouw naam of bedrijfsnaam en de contactgegevens. Trouwens… voor webshops is het sowieso een verplichting om deze gegevens op je website te laten zien.
Doel
Ook het doel van het verzamelen van gegevens moet duidelijk beschreven worden. Worden de gegevens gebruikt voor meerdere doeleinden? Dan is het zaak om alle doelen afzonderlijk te beschrijven.
Verplichte opgave van gegevens
Ook is het zaak om in je privacybeleid op te nemen of het verstrekken van gevraagde persoonsgegevens verplicht of optioneel is. Dit doe je bijvoorbeeld door het plaatsen van de bekende asterisk [*] bij verplichte velden. Soms is deze verplichte informatie nodig om de gevraagde service te kunnen bieden. Bijvoorbeeld is het nodig om je volledige naam te verstrekken om een online vliegticket te kunnen boeken.
Inzage en wijziging
Het moet voor iemand ook mogelijk zijn dat hij/zij in staat is om zijn verzamelde persoonsgegevens kan inzien. Dit staat in de Wet bescherming persoonsgegevens. Het moet daarnaast ook mogelijk zijn om informatie af te schermen, te verwijderen, aan te vullen of te verbeteren.
Dit kan voorkomen als de gegevens feitelijk onjuist zijn, dan heeft de persoon een legitieme reden om de gegevens aan te passen. Ook als blijkt dat de informatie onvolledig of onvoldoende is voor het doel, niet strikt noodzakelijk is voor het doel of in strijd is met wettelijke voorschriften, moet je wijziging van de gegevens toestaan.
Hoe zo’n wijzigingsverzoek ingediend kan worden, neem je op in je privacy statement. Ook zet je hierin hoe je ermee omgaat en hoe snel je erop reageert. Overigens geldt er een maximumtermijn van 4 weken.
Ontvangers van verzamelde gegevens
Omschrijf de legitieme reden waarom derden partijen persoonsgegevens ontvangen. Neem dit dus op in je privacy verklaring, omschrijf wie de ontvangers zijn van deze verzamelde gegevens.
Het is daarbij ook zeker van belang te melden of de data wordt verzonden naar landen buiten de EU. Is dit het geval? Geef dan ook aan of deze landen de persoonsgegevens adequaat beschermen.
Toestemming
Voor het gebruiken van persoonsgegevens is in sommige gevallen toestemming nodig. Hierbij kan je denken aan het verkopen van gegevens aan derden of het versturen van een nieuwsbrief. In dat geval moet je expliciet toestemming hebben voor het betreffende gebruik van de gegevens.
Wil je de gegevens verkopen zowel als een nieuwsbrief versturen? Dan is het zaak om voor beide apart toestemming te vragen in de privacyverklaring.
Beveiliging van persoonsgegevens
Het is ook belangrijk om in de privacyverklaring op te nemen welke maatregelen je hebt genomen om de persoonsgegevens te beveiligen tegen diefstal, verlies en onrechtmatig gebruik.
Deze melding is ook verplicht op alle plaatsen waar de persoonsgegevens ingevoerd kunnen worden. Dit kan bijvoorbeeld zijn bij een aanmeldformulier voor een nieuwsbrief of in een bestelproces.
Rechtsgeldigheid privacy policy
Om rechtsgeldig te zijn moet je privacy statement de persoon waaraan deze gericht is bereikt hebben. Een aanname dat iemand de link naar de verklaring op je website heeft gevolgd en de voorwaarden heeft gelezen is simpelweg onvoldoende.
Vanwege die reden is het ook een eis om de privacyverklaring op te stellen in álle talen die ondersteunt worden op jouw website.
Aanvullende eisen
Het kan wezen dat er soms nog strengere voorwaarden gelden. Is het namelijk zo dat je persoonsgegevens geheel of gedeeltelijk automatisch laat verwerken? Dan moet je hiervan melding maken bij het Autoriteit Persoonsgegevens.
Denk je erover om dit toch maar niet te doen? Dan kan de autoriteit een boete opleggen… Deze kan oplopen tot maximaal € 4500,-
Wanneer is een privacyverklaring verplicht?
Dat is simpel. Als jij op jouw website privacygevoelige gegevens verzamelt en/of opslaat, ben je al wettelijk verplicht om een privacy statement te hebben. Dit begint simpel gezegd al wanneer jij een simpel contactformulier gebruikt op je website.
Webshops en privacyverklaring
Een privacyverklaring is bij webshops altijd verplicht. Webshops verzamelen alleen al in het bestelproces veel persoonsgegevens. Genoeg reden voor de privacywetgeving om de verklaring voor webshops verplicht te stellen.
Boete bij het niet hebben van een privacy statement
Sinds 1 januari 2016 is de Autoriteit Persoonsgegevens (AP) bevoegd om boetes uit te schreven, die op kunnen lopen tot € 800,-. Heb je dus geen privacyverklaring op je website, terwijl dit wel verplicht is? Dan bestaat er de kans dat je beboet wordt.
Cookieverklaring
Vaak is het naast een privacyverklaring ook verplicht om een cookieverklaring te hebben op je website. Cookies zijn kleine tekstbestandjes die een website kan opslaan op de computer van een bezoeker. In deze bestanden wordt informatie over het bezoek aan de website opgeslagen.
Grofweg zijn er twee soorten cookies te onderscheiden; tracking cookies en functionele cookies.
Tracking cookies
Om een profiel te maken van de bezoeker wordt gebruik gemaakt van tracking cookies. Vrij onschuldig in eerste instantie. Met deze cookies kan je bekijken waar de bezoeker vandaan komt en welke pagina’s worden bezocht.
Anders wordt het wanneer er op basis van je bezoek aan meerdere website een profiel wordt opgebouwd met informatie als je geslacht, interesses, leeftijdscategorie en zoekopdrachten. Dit soort gegevens worden namelijk vaak gebruikt om relevante advertenties te kunnen tonen aan bezoekers.
Functionele cookies
Deze cookies worden ook wel session cookies genoemd. Deze functionele cookies worden gebruikt voor het onthouden van bepaalde instellingen, je loginnaam of voor het koppelen van een browser aan tijdelijke variabelen op de server.
Cookieverklaring verplicht
Maak je gebruik van cookies op jouw website? Dan is een cookieverklaring verplicht. Hierin leg je uit welke cookies je op je website plaatst, waarom je dat doet en hoe deze gebruikt worden.
Het is daarnaast zaak om hier aan te geven of je de gegevens aan derden verstrekt. Zo ja, aan wie? Bezoekers van jouw website moeten bovendien zelf kunnen bepalen of ze cookies accepteren. Dit doe je met een cookiescript.
Cookiewet
De Cookiewet is een wet die sinds juni 2012 van kracht is. Dit gaat om artikel 11.7a van de Telecommunicatiewet, ook dus Cookiewet genoemd in de volksmond. Hierin staat dat elke website met bezoekers uit Nederland verplicht is om de bezoekers te informeren over het gebruik van cookies.
Voordat ook maar één cookie geplaatst mag worden moeten Nederlandse bezoekers eenmalig expliciet toestemming geven.
Echter is het zo dat voor technisch noodzakelijke cookies als bijvoorbeeld een inlogformulier of een winkelmandje geen toestemming vereist is. Maak je gebruik van Google Analytics, Youtube, Google maps, Facebook of Twitter of je site? Dan is toestemming wél nodig.
Hoge boetes bij overtreding van de Cookiewet
Houd je jezelf niet aan de Cookiewet? Houd dan rekening dat de Autoriteit Consument & Markt een boete van maximaal € 45.000,- kan opleggen. Dit wil je natuurlijk niet.
Voorbeeld privacyverklaring.
Na het lezen van dit alles wil je natuurlijk snel aan de slag met het maken van jouw eigen verklaring… Om je hier nog verder mee te helpen kan je gebruik maken van het voorbeelddocument, deze kan je gebruiken als basis voor het vastleggen van jouw privacybeleid.