Vrijwel alle online bedrijven verzamelen persoonsgegevens van klanten en/of bezoekers. Bijvoorbeeld als een bezoeker zich inschrijft voor de nieuwsbrief of het contactformulier verstuurt. Sinds 25 mei 2018 ben je volgens de AVG wetgeving verplicht om een privacyverklaring voor je website te hebben. Heb je nog geen privacyverklaring op je website? Dan wordt het hoogste tijd. In deze blogpost leggen wij uit waar de privacyverklaring aan moet voldoen en helpen wij je bij het opstellen van een privacyverklaring.
Waarom moet ik een privacyverklaring hebben?
Elke website die persoonsgegevens verzameld, heeft sinds 25 mei 2018 een privacyverklaring nodig die voldoet aan de AVG wetgeving. Het maakt dus niet uit of je ZZp’er bent of eigenaar van een multinational, veel bezoekers trekt of weinig, een webshop of een blog hebt. Als je een contactformulier hebt, inschrijvingen voor je nieuwsbrief verzamelt of op een andere manier persoonsgegevens verwerkt, dan is het nodig om een privacyverklaring te hebben. Voldoet je onderneming niet aan deze wetgeving, dan riskeer je een boete van maximaal €20.000.000,- of 4% van je wereldwijde jaaromzet (als het bedrag hoger uit zou vallen).
Waar moet de privacyverklaring aan voldoen?
De privacyverklaring heeft als doel om je bezoeker te informeren dat je persoonsgegevens verzamelt en verwerkt. Het is dus belangrijk dat de informatie die je verstrekt concreet, transparant en begrijpelijk is. Zo moet er o.a. instaan wat er met de gegevens van de bezoeker gebeurt en moet de bezoeker geïnformeerd worden over zijn rechten.
Een privacyverklaring die voldoet aan de wet moet uit de volgende onderdelen bestaan:
- Contactgegevens van het bedrijf (volledige bedrijfsnaam, adres, telefoonnummer/e-mail)
Vermeld ook met wie de bezoeker contact kan opnemen als hij vragen heeft over de privacyverklaring. - De persoonsgegevens die je verwerkt (incl. bijzondere en gevoelige persoonsgegevens)
Bijvoorbeeld naam, adresgegevens, e-mail, IP-adres, bankrekeningnummer, politieke voorkeur, gezondheid etc. In het bijzonder mogen gevoelige persoonsgegevens alleen worden verwerkt als dit volgens de wet verplicht is of als de bezoeker expliciet toestemming heeft gegeven. Persoonsgegevens van personen jonger dan 16 jaar mogen niet zonder toestemming van ouders of wettelijke vertegenwoordigers worden verzamelt. Vermeld dit in je privacyverklaring, wanneer je dit niet kan controleren. - Doeleinden en rechtsgronden voor de verwerking
Enkele voorbeelden van doeleinden zijn: verzenden nieuwsbrief, afhandelen bestellingen of om te voldoen aan wettelijke verplichtingen. Ook de grondslag op basis waarvan je persoonsgegevens opslaat moet worden vermeld. - Bewaartermijn
In principe is er geen vaste bewaartermijn die je moet aanhouden. Hoe lang je gegevens mag opslaan is afhankelijk van het doel waarvoor je de gegevens verzamelt. Naast de wettelijke bepalingen moet je dus zelf bepalen hoe lang het nodig is om de gegevens te bewaren en de bezoeker van deze criteria op de hoogte brengen. - Recht op inzage, recht om inschrijving in te trekken en klachtrecht
Vergeet niet om de bezoeker op de hoogte te brengen van zijn rechten. Zo kunnen bezoekers een verzoek tot inzage, correctie, verwijdering of gegevensoverdraging indienen. Informeer de bezoeker over de rechten en vermeld wat hij moet doen om hiervan gebruik te maken. Wanneer je de persoonsgegevens van een bezoeker met toestemming hebt verkregen, dan is het belangrijk dat je ook vermeldt dat de bezoeker deze toestemming weer kan intrekken. Als laatste moet je de bezoeker informeren dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens als hij het idee heeft dat je misbruik maakt van zijn persoonsgegevens. - Beveiliging
Welke stappen onderneem je om ervoor te zorgen dat er veilig met de persoonsgegevens wordt omgegaan en hoe kan de bezoeker contact opnemen als hij een vermoeden heeft dat er misbruik wordt gemaakt. - Gegevens delen met derden
Deel je de persoonsgegevens met een derde partij (of land), bijvoorbeeld Jetpack, Google Analytics, MailChimp en/of Live Chat? Vermeld dit dan in de privacyverklaring. Geef per partij aan welke gegevens er worden gedeeld en met welk doel. Heeft de derde partij toestemming om de persoonsgegevens in opdracht te verwerken? Stel dan een verwerkersovereenkomst met de partij op en informeer de bezoeker dat jij de eindverantwoordelijke blijft. - Geautomatiseerde besluitvorming
Worden er op basis van geautomatiseerde verwerkingen beslissingen genomen, bijvoorbeeld een automatische weigering van een betaling? Informeer dan waarom dit gebeurt en wat de gevolgen ervan zijn.
Waar vermeld ik mijn cookies?
De cookieverklaring is eigenlijk geen onderdeel van de privacyverklaring. Maar wanneer je cookies plaatst, moet je de bezoeker hier wel over informeren. Plaatst je website alleen maar technische en functionele cookies? Voor deze cookies hoef je niet speciaal toestemming voor vragen. In dit geval kan cookieverklaring prima als onderdeel aan de privacyverklaring worden toegevoegt.
Plaats je veel verschillende cookies, waaronder cookies waarvoor je o.a. toestemming moet vragen (bijvoorbeeld voor remarketing), dan raden wij je aan om een separate cookieverklaring op je website te plaatsen. Deze kan je dan linken vanaf de cookiemelding die verschijnt op het moment dat mensen je website bezoeken.
Hoe schrijf ik een privacyverklaring?
Een privacyverklaring moet niet alleen inhoudelijk kloppen, maar ook begrijpelijk zijn voor de lezer. Wij spreken uit ervaring als wij zeggen dat het opstellen van een privacyverklaring iets is dat je niet zomaar even doet. Er gaat meer tijd inzitten dan je waarschijnlijk aanvankelijk denkt. Met de volgende tips kan je eenvoudig beginnen:
- Gebruik de privacyverklaring van veiliginternetten.nl: met behulp van een aantal vragen stelt de generator een privacyverklaring samen die je als basis kan gebruiken. Ben je op zoek naar meer informatie over de verschillende onderdelen van een privacyverklaring? Gebruik ook dan de generator. Bij elk onderdeel wordt door de tool een toelichting gegeven.
- Gebruik onze privacyverklaring als vertrekpunt. Deze verklaring is niet geschikt voor elke soort website, maar beschikt over de meest belangrijke onderdelen.
- Laat je privacyverklaring door iemand anders (het liefst een jurist) opstellen. Het scheelt je extra tijd en je weet zeker dat de privacyverklaring voldoet aan de AVG wetgeving.
Wij gebruiken voor een groot aantal sites de WordPress plugin Complianz. Hiermee krijg je niet alleen een complete oplossing voor je cookiemelding en cookieverklaring, de betaalde versie genereert ook een privacyverklaring. Je moet hiervoor wel de betaalde versie afnemen, maar voor €59,00 bespaar je wel ontzettend veel tijd.
Waar op de website moet ik de privacyverklaring plaatsen?
Volgens de wet moet je de privacy informatie vooraf of gelijktijdig met een inschrijving verstrekken. Wij raden je dan ook aan om bij elk formulier een link te plaatsen waarin je verwijst naar de privacyverklaring.
Moet ik altijd een privacyverklaring op mijn website plaatsen?
Ja in principe wel. Stel dat je website geen persoonsgegevens verzamelt en ook geen enkel cookie plaatst. Zelf dan is de privacyverklaring nodig om dit te vertellen. Deze verklaring is dan wel erg kort, maar wel nodig.
Disclaimer
Bij het verzamelen van de informatie uit deze blogpost hebben wij ons best gedaan om volledige en juiste informatie te verstrekken. Aan de informatie, inclusief onze eigen privacyverklaring, kunnen geen rechten worden ontleend.
Gepubliceerd in: Website beginnen
