Vrijwel alle online bedrijven verzamelen persoonsgegevens van klanten en/of bezoekers. Bijvoorbeeld als een bezoeker zich inschrijft voor de nieuwsbrief of het contactformulier verstuurt. Met ingang van 25 mei 2018 bent u volgens de nieuwe AVG wetgeving verplicht om de privacyverklaring op uw website bij te werken. Indien u nog geen privacyverklaring op uw website heeft, dan wordt het nu de hoogste tijd. In deze blogpost leggen wij uit waar de privacyverklaring aan moet voldoen en helpen wij u een privacyverklaring opstellen.

Privacyverklaring websites en webshops

Heeft mijn website een privacyverklaring nodig?

Elke website die persoonsgegevens verzameld, heeft vanaf 25 mei 2018 een privacyverklaring nodig die voldoet aan de nieuwe AVG wetgeving. Het maakt dus niet uit of u ZZp’er bent of eigenaar van een multinational, veel bezoekers trekt of weinig, een webshop of een blog hebt. Als u een contactformulier heeft, nieuwsbriefinschrijvingen verzamelt of op een andere manier persoonsgegevens opslaat, hoort u onder andere over een privacyverklaring te beschikken. Voldoet uw onderneming na 25 mei 2018 niet aan de de nieuwe wetgeving, dan riskeert u een boete van maximaal €20.000.000,- of 4% van uw wereldwijde jaaromzet (als het bedrag hoger uit zou vallen).

Waar moet de privacyverklaring aan voldoen?

De privacyverklaring heeft als doel om uw bezoeker te informeren dat u persoonsgegevens verzamelt en verwerkt. Het is dus belangrijk dat de informatie die u verstrekt concreet, transparant en begrijpelijk is. Zo moet er o.a. instaan wat er met de gegevens van de bezoeker gebeurt en moet de bezoeker geïnformeerd worden over zijn rechten.

Een privacyverklaring die voldoet aan de wet moet uit de volgende onderdelen bestaan:

  • Contactgegevens van het bedrijf (volledige bedrijfsnaam, adres, telefoonnummer/e-mail)
    Vermeld tevens met wie de bezoeker contact kan opnemen als hij vragen heeft over de privacyverklaring.
  • De persoonsgegevens die u verwerkt (incl. bijzondere en gevoelige persoonsgegevens)
    Bijvoorbeeld naam, adresgegevens, e-mail, IP-adres, Bankrekeningnummer, politieke voorkeur, gezondheid etc. In het bijzonder mogen gevoelige persoonsgegevens alleen worden verwerkt als dit volgens de wet verplicht is of als de bezoeker expliciet toestemming heeft gegeven. Persoonsgegevens van personen jonger dan 16 jaar mogen niet zonder toestemming van ouders of wettelijke vertegenwoordigers. Wanneer een controle niet mogelijk is, vermeld dit dan in de privacyverklaring.
  • Doeleinden en rechtsgronden voor de verwerking
    Enkele voorbeelden van doeleinden zijn: verzenden nieuwsbrief, afhandelen bestellingen of om te voldoen aan wettelijke verplichtingen. Ook de grondslag op basis waarvan u persoonsgegevens opslaat moet worden vermeld.
  • Bewaartermijn
    In principe is er geen vaste bewaartermijn die u hoort te hanteren. Hoe lang u gegevens mag opslaan is afhankelijk van het doel waarvoor u de gegevens verzamelt. Naast de wettelijke bepalingen moet u dus zelf bepalen hoe lang het nodig is om de gegevens te bewaren en de bezoeker van deze criteria op de hoogte brengen.
  • Recht op inzage, recht om inschrijving in te trekken en klachtrecht
    Ook mag u niet vergeten om de bezoeker op de hoogte te brengen van zijn rechten. Zo kunnen bezoekers een verzoek tot inzage, correctie, verwijdering of gegevensoverdraging indienen. Informeer de bezoeker over de rechten en vermeld wat hij moet doen om hiervan gebruik te maken. Wanneer u de persoonsgegeven van een bezoeker met toestemming heeft verkregen, is het belangrijk dat u ergens vermeld dat de bezoeker deze toestemming ook weer kan intrekken. Als laatste moet u de bezoeker er ook van op de hoogte brengen dat hij een klacht kan indienen bij de Autoriteit Persoonsgegevens als hij het idee heeft dat u misbruik maakt van zijn persoonsgegevens.  
  • Beveiliging
    Welke stappen onderneemt u om ervoor te zorgen dat er veilig met de persoonsgegevens wordt omgegaan en hoe kan de bezoeker contact opnemen als hij een vermoeden heeft dat er misbruik wordt gemaakt
  • Gegevens delen met derden 
    Deelt u de persoonsgegevens met een derde partij (of land), bijvoorbeeld Google Analytics, MailChimp en/of LiveChat? Vermeld dit dan in de privacyverklaring. Geeft per partij aan welke gegevens er worden gedeeld en met welk doel. Heeft de derde partij toestemming om de persoonsgegevens in opdracht te verwerken? Stel dan een verwerkersovereenkomst met de partij op en informeer de bezoeker dat u de eindverantwoordelijke blijft.
  • Geautomatiseerde besluitvorming
    Worden er op basis van geautomatiseerde verwerkingen beslissingen genomen, bijvoorbeeld een automatische weigering van een betaling? Informeer dan waarom dit gebeurt en wat de gevolgen ervan zijn.

Waar vermeld ik mijn cookies?

De cookieverklaring is eigenlijk geen onderdeel van de privacyverklaring. Maar wanneer u cookies plaatst, moet u de bezoeker hier wel over informeren. Plaatst u alleen maar technische en functionele cookies waar u niet speciaal toestemming voor hoeft te vragen? Dan kunt u de cookieverklaring prima als onderdeel van de privacyverklaring toevoegen.

Plaatst u veel verschillende cookies, waaronder cookies waarvoor u toestemming moet vragen (bijvoorbeeld remarketing), dan raden wij u aan om een separate cookieverklaring op uw website te plaatsen. Deze kunt u dan linken vanaf het toestemmingsformulier dat verschijnt op het moment dat mensen uw website bezoeken.

Hoe schrijf ik een privacyverklaring?

Een privacyverklaring moet niet alleen inhoudelijk kloppen, maar ook begrijpelijk zijn voor de lezer. Wij spreken uit ervaring als wij zeggen dat het opstellen van een privacyverklaring iets is dat u niet zomaar even doet. Er gaat meer tijd inzitten dan uw waarschijnlijk vooraf denkt. Wel hebben wij enkele tips die u kunnen helpen bij een privacyverklaring opstellen:

  • Gebruik de privacyverklaring van veiliginternetten.nl: met behulp van een aantal vragen stelt de generator een privacyverklaring op die u als basis kunt gebruiken. Wilt u nog meer informatie over de privacyverklaring en wat er nou precies in moet. Vul dan ook zeker de generator in. Bij elk onderdeel wordt er door de tool een toelichting gegeven.
  • Gebruik onze privacyverklaring als vertrekpunt. Deze verklaring is niet geschikt voor webwinkels en een aantal andere soorten websites, maar wel een goede informatiebron die u kunt gebruiken om uw eigen privacyverklaring te schrijven.
  • Laat uw privacyverklaring door iemand anders (het liefst een jurist) opstellen. Het scheelt u extra tijd en u weet zeker dat de privacyverklaring voldoet aan de nieuwe wetgeving.

Meer inspiratie?

Bent u nog druk aan het schijven aan uw privacyverklaring? Dan bent u echt niet de enige. Veel websites hebben de privacyverklaring nog niet geüpdatet en wachten tot het laatste moment. Andere websites waren er juist al vroeg bij. Wij hebben 3 goede, bestaande voorbeelden gevonden die u zou kunnen gebruiken ter inspiratie bij het opstellen uw eigen privacyverklaring.

https://www.deltahotel.nl/nl/privacyverklaring.html
https://younglaw.nl/privacyverklaring/
https://www.consumentenbond.nl/over-ons/voorwaarden-en-privacy/privacy/privacyverklaring

Waar moet ik de privacyverklaring plaatsen?

Volgens de wet moet u de privacy informatie vooraf of gelijktijdig met de inschrijving verstrekken. Wij raden u dan ook aan om bij elk formulier een link te plaatsen waarin u verwijst naar de privacyverklaring.

Moet ik altijd een privacyverklaring op mijn website plaatsen?

Ja in principe wel. Stel dat uw website geen persoonsgegevens verzamelt en ook geen enkel cookie plaatst. Zelf dan is de privacyverklaring nodig om dit te vertellen. Deze verklaring is dan wel erg kort, maar wel nodig.

Disclaimer
Bij het verzamelen van de informatie uit deze blogpost hebben wij ons best gedaan om volledige en juiste informatie te verstrekken. Aan de informatie, inclusief onze eigen privacyverklaring, kunnen geen rechten worden ontleend.

Lees ook deze blogpost:

Nieuwe cookiewetgeving in Nederland

Nieuwe cookiewetgeving in Nederland