Een privacyverklaring (ook wel privacy statement genoemd) is een juridisch document waarin je uitlegt hoe jouw onderneming of website gegevens van klanten en bezoekers verzamelt, behandelt en verwerkt. Dit document beschrijft in detail hoe persoonlijke gegevens binnen jouw organisatie worden behandeld. In dit voorbeeld van een privacyverklaring laat ik je zien welke onderdelen zo’n verklaring tenminste moet bevatten.

Wil je tijd besparen én er zeker van zijn dat jouw privacyverklaring helemaal klopt? Ik heb dat verklaring binnen een mum van tijd voor je opgesteld!

Ben je zelf al aan de slag gegaan maar op zoek naar meer zekerheid? Dan kun je hem ook door mij laten controleren op de aanwezigheid van alle wettelijke vereisten.

Inhoudsopgave:
Waarom heb je een privacyverklaring nodig?
Een voorbeeld van een privacyverklaring
De basis van een privacyverklaring
Een uitgebreid voorbeeld voor een eigen privacyverklaring
Onderdeel 1: Welke persoonsgegevens worden verwerkt?
Onderdeel 2: Met welk doel en op basis van welke grondslag worden deze persoonsgegevens verwerkt?
Onderdeel 3: Bewaartermijn van de gegevens
Onderdeel 4: Delen van persoonsgegevens met derden
Onderdeel 5: Cookies
Onderdeel 6: Geautomatiseerde besluitvorming
Onderdeel 7: Jouw rechten
Onderdeel 8: Beveiliging van jouw persoonsgegevens
Onderdeel 9: Vragen
Optionele onderdelen
Ga niet klakkeloos kopiëren

Waarom heb je een privacyverklaring nodig?

Het zal je vast niet zijn ontgaan: per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze privacywetgeving beschermt kritieke gegevens van de persoon aan wie ze toebehoren. Denk daarbij bijvoorbeeld aan creditcardnummers, Burgerservicenummers, e-mailadressen en telefoonnummers. Als dit soort gegevens in onbetrouwbare handen komt, kan dit namelijk behoorlijke consequenties voor de eigenaar van die gegevens hebben.

Om die reden zijn bedrijven of websites die klantgegevens behandelen wettelijk verplicht om een privacyverklaring (of privacy statement) op hun zakelijke website te publiceren. In deze verklaring beschrijf je uitdrukkelijk of die persoonlijke gegevens vertrouwelijk worden behandeld of worden gedeeld met of verkocht aan derde partijen.

Een voorbeeld van een privacyverklaring

In principe heeft iedere website die je bezoekt zo’n privacyverklaring, we kijken er alleen (bijna) nooit naar. Over het algemeen zijn we namelijk pas met onze privacy bezig als we het gevoel hebben dat die in het geding is. En als je dat gevoel hebt, dan is het wel zo prettig als je in een privacyverklaring precies na kunt lezen of dat gevoel terecht is of niet.

Een mooi voorbeeld van een goede privacyverklaring is op de website van Zalando te vinden. Nu is dit een enorme webshop die in heel Europa opereert en daar hoort een heel uitgebreide privacyverklaring bij, daarom licht ik een klein stukje uit over de gegevens die Zalando verwerkt:

Zalando biedt diverse diensten aan, die u op verschillende manieren kunt gebruiken. Al naargelang u online, telefonisch, persoonlijk of op een andere manier met ons in contact treedt en van welke diensten u gebruik wilt maken, zijn daarvoor gegevens uit verschillende bronnen nodig. Veel van de door ons verwerkte gegevens geeft u zelf aan ons door wanneer u gebruik van onze diensten maakt of contact met ons opneemt, bijvoorbeeld omdat u zich registreert en daarvoor uw naam of e-mailadres of huisadres invult. Wij ontvangen echter ook technische apparaat- en toegangsgegevens die bij uw interactie met onze diensten door ons verzameld worden. Dat kan bijvoorbeeld om informatie gaan welk apparaat u gebruikt. Andere gegevens verzamelen wij door onze eigen analyses van de gegevens (bijv. in het kader van marktonderzoeken en beoordelingen van klanten). Eventueel ontvangen wij ook van derden gegevens over u, bijvoorbeeld van bureaus voor kredietregistratie en betaaldienstaanbieders.

De basis van een privacyverklaring

Bij een privacyverklaring gaat het er dus vooral om dat je erkent welke gegevens je van klanten of websitebezoekers verwerkt en wat je met die gegevens doet. Daarbij gaat het om gegevens als:

  • Naam
  • Adres
  • E-mailadres
  • Telefoonnummer
  • Leeftijd
  • Geslacht
  • Huwelijkse staat
  • Ras
  • Nationaliteit
  • Religieuze en/of politieke overtuiging

Nu kun je denken: er is geen mogelijkheid waarop mijn website gegevens waaruit een politieke overtuiging blijkt verwerkt. Maar een website als YouTube doet dat wel. Op basis van bekeken video’s kunnen er aannames over iemands religieuze of politieke overtuiging gemaakt worden. En als jij een video van YouTube op jouw website insluit, zet je de deur daar voor open.

Op het moment dat jij een derde partij aan jouw website of onderneming toevoegt, ga je in veel gevallen ook gegevens van jouw klanten en bezoekers delen.

Een uitgebreid voorbeeld voor een eigen privacyverklaring

Als je zelf een privacyverklaring voor jouw onderneming of website wil opstellen, is het belangrijk om te beseffen dat het nooit een goed idee is om klakkeloos de privacyverklaring van een concurrent te kopiëren. Zeker als je niet helemaal begrijpt wat er allemaal in die verklaring staat. Als het om juridische documenten gaat, is er niet zoiets als ‘one size fits all’. Daarnaast maak je op dat moment inbreuk op het auteursrecht van de maker van het document: op zo’n claim zit je niet te wachten!

Het onderstaande voorbeeld voor een eigen privacyverklaring is dus een startpunt, je zult het naar de specifieke omstandigheden van je eigen onderneming aan moeten passen. Kun je daar wat hulp bij gebruiken? Neem dan contact met me op!

Onderdeel 1: Welke persoonsgegevens worden verwerkt?

In dit onderdeel van je privacyverklaring zet je uiteen welke persoonsgegevens van je klanten of bezoekers binnen je onderneming gebruikt worden. Dat kan voor een dienstverlenende ZZP’er op de volgende manier worden verwoord:

Ik verwerk jouw persoonsgegevens doordat je gebruik maakt van mijn diensten en/of omdat je deze gegevens zelf aan mij verstrekt.

Hieronder vind je een overzicht van de persoonsgegevens die ik verwerk:

  • Voor- en achternaam
  • Geslacht
  • Adresgegevens
  • Telefoonnummer
  • E-mailadres
  • Bankrekeningnummer
  • Overige persoonsgegevens die je actief verstrekt

Ik verwerk alleen bijzondere en/of gevoelige persoonsgegevens als jij deze zelf aan mij verstrekt en daarbij jouw toestemming geeft om deze gegevens te mogen verwerken.

Als je bijvoorbeeld een boekhoudkantoor hebt of kapper bent, ziet dit onderdeel er anders uit. Een boekhouder heeft namelijk vaak ook toegang tot bankrekeningen (en dus ook inloggegevens) en een kapper slaat van haar vaste klanten vaak ook de exacte haarkleur voor toekomstige haarkleuringen op. Dit soort zaken moeten in dit onderdeel ook vermeld worden.

Onderdeel 2: Met welk doel en op basis van welke grondslag worden deze persoonsgegevens verwerkt?

Persoonsgegevens worden nooit voor de lol opgeslagen, het dient altijd een bepaald nut. Beschrijf daarom in dit onderdeel waarom je die gegevens gebruikt. Dat zou er voor een dienstverlener als volgt uit kunnen zien:

Wij verwerken jouw persoonsgegevens om diensten aan jou te kunnen verlenen. De verwerking is dus noodzakelijk om de overeenkomst die we hebben gesloten, uit te kunnen voeren.

Wij verwerken ook persoonsgegevens als we hier wettelijk toe verplicht zijn, zoals gegevens die we nodig hebben voor onze belastingaangifte.

Ten slotte kunnen we persoonsgegevens verwerken op basis van jouw toestemming. Als jij ons toestemming geeft om gegevens te verwerken voor een bepaald doel, dan is dat de grondslag van onze verwerking. Je mag die toestemming uiteraard altijd intrekken. De verwerken die we hebben gedaan toen de toestemming nog wel geldig was, blijven dan gewoon rechtsgeldig.

Onderdeel 3: Bewaartermijn van de gegevens

In dit onderdeel van je privacyverklaring laat je weten hoe lang je de persoonsgegevens zal bewaren. Nu is het zo dat bepaalde gegevens (zoals facturen) voor de Belastingdienst een wettelijke bewaartermijn van zeven jaar hebben, dat kun je in deze paragraaf vermelden. Daarnaast kun je ook toevoegen dat je persoonsgegevens niet langer bewaart dan strikt nodig is om de doelen te realiseren waarvoor de gegevens worden verzameld.

Onderdeel 4: Delen van persoonsgegevens met derden

In een privacyverklaring is dit vaak een van de belangrijkste onderdelen. Hierin wil je duidelijk maken of je gegevens van je klanten en/of bezoekers al dan niet aan derden verstrekt. Als dit het geval is, moet je hier aanduiden of er ook sprake van een verwerkersovereenkomst is. Dit zou je als volgt kunnen omschrijven:

Met bedrijven die onze gegevens in onze opdracht verwerken, sluiten we een verwerkersovereenkomst om te zorgen voor eenzelfde niveau van beveiliging en vertrouwelijkheid van jouw gegevens. Momenteel worden persoonsgegevens met de volgende partijen gedeeld:

  • Boekhouder;
  • E-mailsoftware;
  • Websitehosting;
  • Bank;
  • Administratiesysteem;
  • Cloudprovider.

Onderdeel 5: Cookies           

Inmiddels heeft zo’n beetje iedere website een cookie banner en klikken we deze allemaal blindelings weg. Maar wanneer heb je zo’n cookie banner nu echt nodig? Vaak gebruikt je website cookies zonder dat je dat zelf beseft. Om er zeker van te zijn dat je website al dan niet cookies gebruikt, kan ik een quickscan voor je uitvoeren. Je weet dan meteen waar je aan toe bent.

Je kunt dan in je privacyverklaring aangeven of en welke cookies je gebruikt, je zou dat als volgt kunnen beschrijven:

Onze website maakt alleen gebruik van functionele cookies. Omdat deze cookies noodzakelijk zijn, hoeven we daar geen toestemming voor te vragen.

Onderdeel 6: Geautomatiseerde besluitvorming

Er is sprake van een geautomatiseerde besluitvorming als er zonder menselijke tussenkomst door een computerprogramma of computersysteem beslissingen worden genomen. Geef in je privacyverklaring altijd aan of je hier wel of geen gebruik van maakt.

Onderdeel 7: Jouw rechten

In dit onderdeel van je privacyverklaring geef je aan wat de rechten van je klanten en/of bezoekers zijn. Je zou dit als volgt kunnen omschrijven:

Je hebt altijd het recht om je persoonsgegevens in te zien, aan te laten passen of te laten verwijderen. Daarnaast heb je het recht om te verzoeken om een beperking van de verwerking, mag je bezwaar maken tegen de verwerking en kun je een beroep doen op gegevensoverdraagbaarheid. In het geval dat de verwerking is gebaseerd op toestemming, mag je deze toestemming altijd intrekken. Dit doet niets af aan de rechtmatigheid van de eerdere verwerking toen de toestemming nog wel geldig was.

Onderdeel 8: Beveiliging van jouw persoonsgegevens

De omvang van dit onderdeel is erg afhankelijk van de producten of diensten die je als onderneming aanbiedt. Je kunt het kort houden. Maar als je bijvoorbeeld websites bouwt en daardoor ook inloggegevens van klanten hebt, is het aan te raden om dit wat uitgebreider te maken. Houd er in ieder geval ook rekening mee dat er altijd een kans is dat je website wordt gehackt en dat de gegevens van klanten en bezoekers daardoor ook uit kunnen lekken.

Dit is een voorbeeld van een standaard onderdeel over beveiliging in een privacyverklaring:

Wij nemen de bescherming van jouw gegevens serieus en nemen passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als jij het idee hebt dat jouw gegevens toch niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact met ons op via [e-mailadres].

Onderdeel 9: Vragen

Het kan natuurlijk altijd zo zijn dat klanten of bezoekers van je website vragen hebben naar aanleiding van je privacyverklaring. Geef in dit onderdeel dus een e-mailadres of telefoonnummer op waar ze met hun vragen terecht kunnen.

Optionele onderdelen

De bovenstaande voorbeelden voor een privacyverklaring zijn vrij standaard, in veel gevallen is het nodig om dit aan te vullen met onderdelen die op jouw specifieke onderneming of website van toepassing zijn.

Als je bijvoorbeeld een nieuwsbrief hebt, hoor je hier in je privacyverklaring ook wat over te vertellen. Geef aan dat mensen zich altijd voor die nieuwsbrief af kunnen melden. Indien je een website met gesponsorde onderdelen of affiliate marketing hebt, hoor je dit in je privacyverklaring ook te noemen en te specificeren.

Daarnaast is er nog een mogelijkheid om een onderdeel over mogelijke klachten op te nemen. Je geeft dan met een e-mailadres en/of telefoonnummer aan waar mensen met klachten over de privacyverklaring terecht kunnen.

Ga niet klakkeloos kopiëren

Als je zelf je privacyverklaring op wil gaan stellen is het geen goed idee om een standaard verklaring te gebruiken of om de verklaring van een concurrent klakkeloos te kopiëren. Je wil geschillen, discussies en problemen voorkomen, dat kan alleen als jouw verklaring exact klopt met datgene wat je doet en/ of levert.

Als je risico’s wil vermijden laat je jouw privacyverklaring door een specialist opstellen. Zo weet je zeker dat je ’s nacht rustig kunt slapen.

Winkens Legal heeft al talloze ondernemers geholpen met hun privacyverklaring waardoor zij juridisch hun zaakjes perfect op orde hadden.